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Prefacio 

Hoy en dia, la tecnologia de la informacion es parte de casi todo lo que nos rodea. 
Estos son los sistemas que usamos y que nos apoyan en la construccion y 
funcionamiento de ciudades, empresas, nuestros tours personales de compras en 
linea, y nuestras amistades. Estos sistemas son atractivos para el uso y abuso. En 
consecuencia, todos los campos criminales como el robo, el fraude, el chantaje, etc. 
se expandieron a la IT. Eloy en dia, se trata de una industria de la sombra, 
multimillonaria, criminal y global. 

uede una persona detectar senales de actividades delictivas o sospechosas de una 
industria de la sombra, multimillonaria, criminal y global.? Bueno, a veces puedes. 
Para analizar el crimen moderno, usted no necesita lupas y levantamiento de huellas 
de botellas de vino. En su lugar, vamos a ver como aplicar sus habilidades de 
Python para ver de cerca los puntos mas prometedores en un sistema de archivos y 
tomar huellas dactilares digitales de las huellas dejadas por los hackers. 

Como autores, creemos en la fuerza de los ejemplos sobre la teoria polvorienta. Esta 
es la razon por la que proporcionamos ejemplos de herramientas forenses y Scripts, 
que son lo suficientemente cortas para ser entendidas por el programador de 
Python promedio, herramientas utilizables y bloques de construccion para el 
mundo real de la investigacion forense. 

^Estas listo para convertir la sospecha en hechos concretos? 

Lo que este libro cubre 

Capitulo 1, Configuracion dei laboratorio e introduccion a Python ctypes, cubre como 
configurar su entorno para seguir los ejemplos que se proporcionan en este libro. 
Vamos a echar un vistazo a los diversos modulos de Python que apoyan nuestros 
analisis forenses. Con ctypes, ofrecemos los medios para ir mas alia de los 
modulos de Python y aprovechar las capacidades de las bibliotecas de sistemas 
nativos. 
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Capitulo 2, Algoritmos Forenses, le proporciona el equivalente digital de tomar 
huellas dactilares. AI igual que en el caso de las huellas dactilares clasicas, le 
mostraremos como comparar las huellas dactilares digitales con un enorme registro 
de las muestras buenas y malas conocidas. Esto le ayudara a centrar su analisis y 
proporcionar una prueba de solidez forense. 

Capitulo 3, Uso de Python para Windows y Linux Forensics, es el primer paso en su 
camino hacia la comprension de la evidencia digital. Proporcionaremos ejemplos 
para detectar signos de compromiso en sistemas Windows y Linux. Concluiremos 
el capitulo con un ejemplo sobre como utilizar algoritmos de aprendizaje 
automatico en el analisis forense. 

Capitulo 4, Uso de Python para analisis forense de redes, se trata de capturar y analizar 
el trafico de red. Con las herramientas proporcionadas, puede buscar y analizar el 
trafico de la red para detectar signos de infiltracion o la firma de la comunicacion 
de malware. 

Capitulo 5, Uso de Python para virtualizacion Forense, explica como los conceptos 
modernos de virtualizacion pueden ser utilizados por el atacante y el analista forense. 
En consecuencia, mostraremos como detectar comportamientos maliciosos en el nivei 
dei hipervisor y utilizar la capa de virtualizacion como fuente confiable de datos 
forenses. 

Capitulo 6, Uso de Python para forense movil, le dara una idea sobre como recuperar y 
analizar datos forenses de dispositivos moviles. Los ejemplos incluiran el analisis de 
dispositivos Android, asl como dispositivos Apple iOS. 

Capitulo 7, El uso de Python para el analisis forense de memoria, demuestra como 
recuperar snapshots de memoria y analizar estas imagenes forenses de RAM con 
Linux y Android. Con la ayuda de herramientas como LiME y Volatility, 
demostraremos como extraer informacion de la memoria dei sistema. 

Lo que necesitas para este libro 

Todo lo que necesita para este libro es una estacion de trabajo Linux con un entorno 
Python 2.7 y una conexion a Internet que funcione. Capitulo 1, Configuracion dei 
laboratorio e introduccion a Python ctypes le guiara a traves de la instalacion de los 
modulos y herramientas adicionales de Python. Todas nuestras herramientas 
usadas estan disponibles gratuitamente en Internet. El codigo fuente de nuestras 
muestras esta disponible en Packt Publishing. 

Para seguir los ejemplos dei Capitulo 5, Uso de Python para virtualizacion Porense, 
puede configurar un entorno de virtualizacion con VMware vSphere. El Software 
necesario esta disponible en VMware como version de prueba limitada en el tiempo 
sin restricciones funcionales. 
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Aunque no es estrictamente requerido, recomendamos probar algunos de los 
ejemplos dei Capitulo 6, Uso de Python para forense movil, en dispositivos 
moviles descartados. Para sus primeros experimentos, por favor, abstenerse de 
utilizar telefonos personales o empresariales que esten realmente en uso. 

i,Para quien es este libro? 

Este libro es para administradores de IT, operaciones de IT y analistas que desean 
adquirir profundas habilidades en la recopilacion y analisis de evidencia digital. 

Si ya eres un experto forense, este libro te ayudara a ampliar tus conocimientos en 
nuevas areas, como la virtualizacion o los dispositivos moviles. 

Para sacar el maximo provecho de este libro, debe tener habilidades decentes 
en Python y comprender al menos algunos funcionamientos internos de sus 
objetivos forenses. Por ejemplo, algunos detalles dei sistema de archivos. 

Convenciones 

En este libro, encontrara una serie de estilos de texto que distinguen entre 
diferentes tipos de informacion. Aqui hay algunos ejemplos de estos estilos y una 
explicacion de su significado. 

Las palabras de codigo en el texto, los nombres de las tablas de base de datos, los 
nombres de las carpetas, los nombres de archivo, las extensiones de archivo, los 
nombres de ruta, las direcciones URL falsas, la entrada de usuario y las 
descripciones de Twitter se muestran como sigue: "Note que en el caso de 
Windows, msvcrt es la biblioteca estandar C de MS que contiene la mayoria de las 
funciones estandar de C y utiliza la convencion de llamada cdecl (en sistemas 
Linux, la libreria similar seria libe. so. 6)." 

Un bloque de codigo se establece de la siguiente manera: 

def multi_hash(filename): 

"""Calculates the md5 and sha256 hashes 

of the specified file and returns a list 
containing the hash sums as hex strings.""" 

Cuando queremos llamar su atencion sobre una parte en particular de un 
bloque de codigo, las lineas o elementos relevantes se definen en negrita: 

<Event xmlns="http://schemas.microsoft.com/win/2004/08/events/ 
event"XSystemXProvider Name="Microsoft-Windows-Security- 
Auditing" Guid="54 84 9625-547 8-4 994-a5ba-3e3b032 8c30d"X/Provider> 

<EventID Qualifiers="">4724</EventID> 

<Version>0</Version> 

<Level>0</Level> 

<Task>13824</Task> 
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Cualquier entrada de linea de comandos o salida se escribe de la siguiente manera: 

user@lab:~$ virtualenv labenv 

New python executable in labenv/bin/python 

Installing setuptools, pip...done. 


Los nuevos terminos y palabras importantes ase muestran en negrita. Las 
palabras que se ven en la pantalla, por ejemplo, en menus o cuadros de dialogo, 
aparecen en el texto como este: "Cuando se le pregunte a Select System Logs, 
asegurese de que todos los tipos de registro esten seleccionados." 



Las advertencias o notas importantes aparecen en un cuadro como este. 


Consejos y trucos aparecen asi. 


Comentarios dei lector 

Los comentarios de nuestros lectores es siempre bienvenido. Haganos saber lo 
que piensa acerca de este libro, lo que le gusto o no le gusto. La retroalimentacion 
dei lector es importante para nosotros, ya que nos ayuda a desarrollar titulos de 
los que realmente sacaras el maximo provecho. 

Para enviarnos comentarios generales, simplemente envie un correo electronico a 
feedback@packtpub.com, y mencione el titulo dei libro en el terna de su mensaje. 
Si hay un terna en el que tiene experiencia y esta interesado en escribir o contribuir 
a un libro, consulte nuestra guia de autores en www.packtpub.com/ authors. 


Atencion al cliente 

Ahora que usted es el orgulloso propietario de un libro de Packt, tenemos una 
serie de cosas que le ayudaran a sacar el maximo provecho de su compra. 

Descargando el codigo de ejemplo 

Puede descargar los archivos de codigo de ejemplo de su cuenta en http://www. 
packtpub.com para todos los libros de Packt Publishing que haya comprado. Si ha 
comprado este libro en otro lugar, puede visitar http:// www.packtpub.com/ 
support y registrarse para que los archivos se envien por correo electronico 
directamente a usted. 


[ 8 ] 





Preface 


Errata 

Aunque hemos tomado todas las precauciones para garantizar la exactitud de 
nuestro contenido, los errores se producen. Si encuentras un error en uno de nuestros 
libros -tal vez un error en el texto o el codigo- estariamos agradecidos si pudieras 
informarnos esto. AI hacerlo, puede salvar a otros lectores de la frustracion y 
ayudarnos a mejorar las versiones posteriores de este libro. Si encuentra alguna 
errata, informenos visitando http://www.packtpub. com/submit-errata, 
seleccionando su libro, haciendo clic en el enlace Formulario de envio de erratas e 
ingresando los detalles de sus erratas. Una vez que se hayan verificado sus erratas, se 
aceptara su envio y las erratas se cargaran en nuestro sitio web o se agregaran a 
cualquier lista de erratas existentes en la seccion Erratas de ese titulo 

Para ver las erratas presentadas anteriormente, vaya a https:/ / www.packtpub.com/ 
books/content/support e introduzca el nombre dei libro en el campo de busqueda. 
La informacion requerida aparecera en la seccion Errata. 

Pirateria 

La pirateria de material protegido por derechos de autor en Internet es un problema 
continuo en todos los medios de comunicacion. En Packt, tomamos muy en serio la 
proteccion de nuestros derechos de autor y licencias. Si encuentra copias ilegales de 
nuestras obras en cualquier forma en Internet, por favor proporcione la direccion de 
la ubicacion o el nombre dei sitio web inmediatamente para que podamos buscar un 
remedio. 

Por favor, pongase en contacto con nosotros en copyright@packtpub.com 
con un enlace a la sospecha de material pirateado. 

Agradecemos su ayuda en la proteccion de nuestros autores y nuestra 
capacidad para ofrecerle contenido valioso. 

Preguntas 

Si tiene algun problema con cualquier aspecto de este libro, puede ponerse 
en contacto con nosotros en questions@packtpub.com, y haremos todo lo 
posible para resolver el problema. 
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Configuracion dei laboratorio 
e Introduccion a Python ctypes 

Cyber Security y Digital Forensics son dos temas de credente importancia. La 
investigacion forense digital, en particular, esta cobrando cada vez mas importancia, 
no solo durante las investigaciones policiales, sino tambien en el campo de la 
respuesta a incidentes. Durante todas las investigaciones mencionadas anteriormente, 
es fundamental conocer la causa raiz de una violacion de seguridad, un mal 
funcionamiento de un sistema o un crimen. La investigacion forense digital juega un 
papel importante en la superacion de estos desafios. 

En este libro, le ensenaremos como construir su propio laboratorio y realizar 
profundas investigaciones forenses digitales, que se originan en una amplia gama 
de plataformas y sistemas, con la ayuda de Python. Comenzaremos con las 
maquinas de escritorio comunes de Windows y Linux, luego avanzaremos hacia 
las plataformas de cloud y virtualizacion y acabaremos con los telefonos moviles. 

No solo le mostraremos como examinar los datos en reposo o en transito, sino que 
tambien echaremos un vistazo mas profundo a la memoria volatil. 

Python proporciona una excelente plataforma de desarrollo para crear sus propias 
herramientas de investigacion debido a su menor complejidad, mayor eficiencia, gran 
numero de bibliotecas de terceros y tambien es facil de leer y escribir. Durante el viaje 
de lectura de este libro, no solo aprendera a utilizar las bibliotecas y extensiones mas 
comunes de Python para analizar la evidencia, sino tambien como escribir sus 
propios Scripts y herramientas de ayuda para trabajar mas rapido en los casos o 
incidentes con una enorme cantidad de evidencia que tiene que ser analizada. 

Comencemos nuestro viaje para dominar Python forensics estableciendo nuestro 
ambiente dei laboratorio, seguido por una breve introduccion de los ctypes de Python. 

Si ya ha trabajado con ctypes de Python y tiene un entorno de laboratorio de 
trabajo, no dude en saltar el primer capitulo y comenzar directamente con uno de 
los otros capitulos. Despues dei primer capitulo, los otros capitulos son bastante 
independientes entre si y se pueden leer en cualquier orden. 
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Setting Up tlie Lab and Introduction to Python ctypes 


Configuracion dei laboratorio 

Como base para nuestros Scripts e investigaciones, necesitamos un entorno de 
laboratorio completo y poderoso que sea capaz de manejar un gran numero de 
diferentes tipos de archivos y estructuras, asi como conexiones a dispositivos 
moviles. Para lograr este objetivo, utilizaremos la ultima version 14.04.2 de Ubuntu 
LTS e instalaremos en una maquina Virtual (VM). En las secciones siguientes, 
explicaremos la configuracion de la maquina Virtual e introduciremos virtualenv 
de Python, que utilizaremos para establecer nuestro entorno de trabajo. 

Ubuntu 

Para trabajar en un entorno de laboratorio similar, le sugerimos que descargue una 
copia de la ultima Ubuntu LTS Desktop Distribution de http:// www.ubuntu.com/ 
download/desktop/, preferiblemente la version de 32 bits. La distribution 
proporcionauna interfaz de usuario facil de usar y ya tiene el entorno de Python 
2.7.6 instalado y preconfigurado. A lo largo dei libro, usaremos Python 2.7.x y no las 
versiones 3.x mas recientes. Varios ejemplos y estudios de caso en este libro 
dependeran de las herramientas o bibliotecas que ya forman parte de la distribution 
de Ubuntu. Cuando un capitulo o una seccion dei libro requiera un paquete o 
biblioteca de terceros, proporcionaremos la informacion adicional sobre como 
instalarlo en el virtualenv (la configuracion de este entorno se explicara en la 
siguiente seccion) o en Ubuntu en general. 

Para un mejor rendimiento dei sistema, recomendamos que la maquina Virtual que 
se utiliza para el laboratorio tenga al menos 4 GB de memoria volatil y unos 40 GB 
de almacenamiento. 


world.py - /home/mspreitz/Documents - Atom 

v ■ Documents | world. py O 

g) world.py 


3 print "Helio, World!" 


worldpy* 3,22 

A1 UTF-8 Python 


Figure 1: The Atom editor 
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Para escribir su primer script de Python, puede usar un editor simple como vi o un 
IDE potente pero abarrotado como eclipse. Como una alternativa realmente 
potente, te sugerimos que uses atom, un editor muy limpio pero altamente 
personalizable que se puede descargar libremente desde https:// atom.io/ 

Entorno Virtual de Python (virtualenv) 

De acuerdo con la documentacion oficial de Python, Virtual Environment es una 
herramienta para mantener las dependendas requeridas por diferentes proyectos en 
lugares separados creando entornos Python virtuales para ellos. Resuelve el dilema 
"Proyecto X depende de la version l.x, pero el Proyecto Y necesita 4.x" y mantiene su 
directorio global de sitios-paquetes limpio y manejable. 

Esto es tambien lo que vamos a utilizar en los siguientes capitulos para mantener un 
entorno comun para todos los lectores dei libro y no ejecutar cualquier problema de 
compatibilidad. En primer lugar, tenemos que instalar el paquete virtualenv. Esto 
se hace con el siguiente comando: 

user@lab:~$ pip install virtualenv 

Ahora crearemos una carpeta en el directorio personal de los usuarios para 

nuestro entorno Python Virtual. Este directorio contendra los archivos ejecutables 

de Python y una copia de la biblioteca de pip, que se puede utilizar para instalar 

otros paquetes en el entorno. El nombre dei entorno Virtual (en nuestro caso, se 

llama labenv) puede ser de su eleccion. Nuestro entorno de laboratorio Virtual se 

puede crear ejecutando el siguiente comando: 

user@lab:~$ virtualenv labenv 

New python executable in labenv/bin/python 

Installing setuptools, pip...done. 

Para empezar a trabajar con el nuevo entorno de laboratorio, primero debe 
activarse. Esto se puede hacer a traves de: 

user@lab:~$ source labenv/bin/activate 
(labenv)userQlab:~$ 

Ahora, puede ver que el simbolo dei sistema comienza con el nombre dei 
entorno virtual que activamos. De ahora en adelante, cualquier paquete que 
instales usando pip sera colocado en la carpeta labenv, aislada de la instalacion 
global de Python en el Ubuntu subyacente. 

A lo largo dei libro, utilizaremos este entorno virtual de python e instalaremos 
nuevos paquetes y bibliotecas en el de vez en cuando. Por lo tanto, cada vez que 
intente recapitular un ejemplo mostrado recuerde o desafie a cambiar al entorno 
labenv antes de ejecutar sus Scripts. 
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Si ha terminado de trabajar en el entorno Virtual por el momento y desea volver a 
su entorno "normal" de Python, puede desactivar el entorno Virtual ejecutando el 
siguiente comando: 

(labenv)userQlab:~$ deactivate 
user@lab:~$ 

Esto lo pone de nuevo en el interprete de Python predeterminado dei sistema 
con todas sus bibliotecas y dependencias instaladas. 

Si esta utilizando mas de una maquina Virtual o fisica para las investigaciones, los 
entornos virtuales pueden ayudarle a mantener sus bibliotecas y paquetes 
sincronizados con todos estos lugares de trabajo. Con el fin de asegurar que sus 
entornos sean consistentes, es una buena idea "congelar" el estado actual de los 
paquetes de entorno. Para ello, ejecute: 

(labenv)userglab:~$ pip freeze > requirenments.txt 

Esto creara un archivo requirements.txt, que contiene una lista simple de todos los 
paquetes en el entorno actual y sus respectivas versiones. Si desea instalar los 
mismos paquetes utilizando la misma version en una maquina diferente, 
simplemente copie el archivo requirements.txt en la maquina deseada, cree el 
entorno labenv como se describio anteriormente y ejecute el siguiente comando: 

(labenv)userglab:~$ pip install -r requirements.txt 

Ahora, tendra entornos Python consistentes en todas las maquinas y no tendra que 
preocuparse por las diferentes versiones de la biblioteca u otras dependencias. 

Despues de haber creado la maquina Virtual Ubuntu con nuestro ambiente de 
laboratorio dedicado, estamos casi listos para comenzar nuestro primer analisis 
forense. Pero antes de eso, necesitamos mas conocimiento de las bibliotecas y 
fondos utiles de Python. Por lo tanto, comenzaremos con una introduction a 
Python ctypes en la siguiente seccion. 

Introduction a Python ctypes 

De acuerdo con la documentacion oficial de Python, ctypes es una biblioteca de 
funciones externa que proporciona tipos de datos compatibles con C y permite 
llamar a funciones en DLL o bibliotecas compartidas. Una biblioteca de funciones 
externa significa que el codigo Python puede llamar a funciones C utilizando solo 
Python, sin necesidad de extensiones especiales o personalizadas. 
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Este modulo es una de las bibliotecas mas poderosas disponibles para el 
desarrollador de Python. La biblioteca ctypes le permite no solo llamar a funciones 
en bibliotecas enlazadas dinamicamente (como se describio anteriormente), sino 
que tambien puede utilizarse para la manipulacion de memoria de bajo nivei. Es 
importante que comprenda los conceptos basicos de como utilizar la biblioteca 
ctypes, ya que se utilizara para muchos ejemplos y casos reales en todo el libro. 

En las siguientes secciones, vamos a introducir algunas caracterfsticas basicas de 
Ptyon ctypes y como usarlos. 

Trabajar con bibliotecas de vmculos dinamicos 

ctypes de Python exporta el cdll y en Windows el windll u objetos oledll 
respectivamente, para cargar las bibliotecas de vmculos dinamicos solicitadas. Una 
biblioteca vinculada dinamicamente es un binario compilado que se vincula en 
tiempo de ejecucion ai proceso ejecutable principal. En plataformas Windows, estos 
binarios se llaman Dynamic Link Libraries (DLL) y en Linux se denominan shared 
objects (SO). Puede cargar estas bibliotecas enlazadas accediendo a ellas como 
atributos de los objetos cdll, windll u oledll. Ahora, vamos a demostrar un ejemplo 
muy breve para Windows y Linux para obtener la hora actual directamente de la 
funcion de tiempo en libe (esta biblioteca detine las llamadas al sistema y otras 
facilidades basicas como open, printf o exit). 

Observe que en el caso de Windows, msvert es la biblioteca estandar C de MS 
que contiene la mayoria de las funciones estandar de C y usa la convencion de 
llamada cdecl (en los sistemas Linux, la librerfa similar seria libe. so. 6): 

C:\Users\Admin>python 


»> from ctypes import * 

»> libe = cdll.msvert 
»> print libe . time (None) 

1428180920 

Windows agrega automaticamente el sufijo usual dei archivo .dll. En Linux, se 
requiere especificar el nombre dei archivo, incluyendo la extension, para cargar la 
biblioteca elegida. Debe utilizarse el metodo LoadLibrary () de los cargadores DLL 
o cargar la biblioteca creando ima instantia de cdll llamando al constructor, como se 
muestra en el siguiente codigo: 

(labenv)userglab:~$ python 


»> from ctypes import * 

»> libe = CDLL (" 1 ibe . so . 6") 
»> print libe . time (None) 
1428180920 
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Como se muestra en estos dos ejemplos, es muy facil ser capaz de llamar a una 
biblioteca dinamica y utilizar una funcion que se exporta. Usted utilizara esta 
tecnica muchas veces en todo el libro, por lo que es importante que entienda como 
funciona. 

Tipos de datos C 

Al examinar los dos ejemplos de la seccion anterior con detalle, puede ver que usamos 
None como uno de los parametros de una biblioteca C enlazada dinamicamente. Esto 
es posible porque None, integers, longs,byte strings, yUnicode strings son 
los objetos nativos de Python que se pueden usar directamente como parametros en 
estas llamadas de funcion. None se pasa como en C, null pointer, byte strings, 
y Unicode strings se pasan como punteros al bloque de memoria que contiene sus 
datos (char* o wchar_t *). Los integers en Python y los longs en Python se pasan 
como el int type en C, por defecto de la plataforma, su valor se oculta para encajar 
en el tipo C. Una descripcion completa de los Python types y sus ctype types 
correspondientes se puede ver en la Tabla 1: 


ctypes type 

C type 

Python type 

c_bool (https://docs.python.org/2/ 
library/ctypes.html#ctypes.c bool) 

_Bool 

bool (1) 

c_char (https://docs.python.org/2/ 
library/ctypes.html#ctypes.c char) 

char 

1-character string 

c_wchar (https : / /docs . python .org/2/ 
library/ctypes.html#ctypes.c 
wchar) 

wchar_t 

1-character 

Unicode string 

c_byte (https://docs.python.org/2/ 
library/ctypes.html#ctypes.c byte) 

char 

int/ long 

c_ubyte (https://docs.python.org/2/ 
library/ctypes.html#ctypes.c 
ubyte) 

unsigned char 

int/long 

c_short (https : / /docs . python . org/2/ 
library/ctypes.html#ctypes.c 
short) 

short 

int/long 

c_ushort (https://docs.python.org/2/ 
library/ctypes.html#ctypes.c 
ushort) 

unsigned short 

int/long 

c_int (https : / /docs . python . org/2/ 
library/ctypes.html#ctypes.c int) 

int 

int/ long 

c_uint (https://docs.python.org/2/ 
library/ctypes.html#ctypes.c uint) 

unsigned int 

int/long 

c_long (https : / /docs . python . org/2/ 
library/ctypes.html#ctypes.c long) 

long 

int/long 
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ctypes type 

C type 

Python type 

c_ulong (https://docs.python.org/2/ 
library/ctypes.html#ctypes.c 
ulong) 

unsigned long 

int/long 

c_longlong (https : / /docs . 
python.org/2/library/ctypes. 
html#ctypes.c longlong) 

_int64 or long long 

int/long 

c_ulonglong (https : //docs . 
python.org/2/library/ctypes. 
html#ctypes.c ulonglong) 

unsigned int64 or 
unsigned long long 

int/long 

c_float (https : //docs .python . org/2/ 
library/ctypes.html#ctypes.c 
f loat) 

float 

float 

c_double (https : / /docs . python. org/2/ 
library/ctypes.html#ctypes.c 
double) 

double 

float 

c_longdouble (https : / /docs . 
python.org/2/library/ctypes. 
html#ctypes.c longdouble) 

long double 

float 

c_char_p(https://docs.python.org/2/ 
library/ctypes.html#ctypes.c 
char p) 

char * (NUL 
terminated) 

string or None 

c_wchar_p (https : / /docs . 
python.org/2/library/ctypes. 
html#ctypes.c wchar p) 

wchar_t * (NUL 
terminated) 

Unicode or None 

c_void_p (https://docs.python.org/2/ 
library/ctypes.html#ctypes.c 
void p) 

void * 

int/long or None 


Table 1: Fundamental Data Types 

Esta tabla es muy util porque todos los Python types excepto integers, strings, y 
Unicode strings tienen que ser envueltos en sus ctypes type correspondientes 
para que puedan convertirse en el tipo de datos en C necesario en la biblioteca 
vinculada y no lanzar las excepciones TypeError, como se muestra en la siguiente 
codigo: 

(labenv)userQlab:~$ python 

»> from ctypes import * 

»> libe = CDLL (" 1 ibe . so . 6 ") 

»> printf = libc.printf 


»> printf("An int %d, a double %f\n", 4711, 47.11) 
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Traceback (most recent call last): 

File "<stdin>", line 1, in <module> 

ctypes.ArgumentError: argument 3: <type 'exceptions.TypeError'>: Don't 
know how to convert parameter 3 


»> printf("An int %d, a double %f\n", 4711, c_double(47.11)) 

An int 4711, a double 47.110000 

Definicion de uniones y estructuras 

Unions y Structures son tipos de datos importantes porque se utilizan con frecuencia 
en toda la libe en Linux y tambien en la API de Microsoft Win32. 

Los uniones son simplemente un grupo de variables, que pueden ser dei mismo 
tipo o de tipos de datos diferentes, donde todos sus miembros comparten la misma 
ubicacion de memoria. AI almacenar variables de esta manera, las uniones permiten 
especificar el mismo valor en diferentes tipos. Para el proximo ejemplo, pasaremos 
de la shell interactiva de Python al editor de atom en nuestro entorno de laboratorio 
de Ubuntu. Solo tiene que abrir el editor de atom, escriba el codigo siguiente y 
guardelo bajo el nombre new_evidence . py: 

from ctypes import * 

class case (Union) : 

_fields_ = [ 

("evidence_int", c_int), 

("evidence_long", c_long), 

("evidence_char", c_char * 4) 

] 

value = raw_input("Enter new evidence number:") 
new_evidence = case(int(value)) 

print "Evidence number as a int: %i" % new_evidence.evidence_int 
print "Evidence number as a long: %ld" % 

new_evidence.evidence_long print "Evidence number as a char: %s" % 
new evidence.evidence char 
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Si asigna a la variable miembro evidence union evidence_int un valor de 42, 
puede utilizar el miembro evidence_char para mostrar la representacion de 
caracteres de ese numero, como se muestra en el ejemplo siguiente: 

(labenv)user@lab:~$ python new_evidence.py 


Enter new evidence number:42 


Evidence number as a long: 42 
Evidence number as a int: 42 
Evidence number as a char: * 

Como puede ver en el ejemplo anterior, al asignar un valor unico a union, obtendra 
tres representaciones diferentes de ese valor. Para int y long, la salida mostrada es 
obvia, pero para la variable evidence_char, podria ser un poco confuso. En este 
caso, '*' es el caracter ASCII con el valor equivalente decimal a 42. La variable 
miembro evidence_char es un buen ejemplo de como definir un array en 
ctypes. En ctypes, un array se define multiplicando un type por el numero de 
elementos que desea asignar en el array. En este ejemplo, se definio un array de 

caracteres de cuatro elementos para la variable miembro evidence_char. 

Una estructura es muy similar a las uniones, pero los miembros no comparten la 
misma ubicacion de memoria. Puede acceder a cualquiera de las variables miembro 
en la estructura utilizando notacion de punto, como case . name. Esto tendria acceso 
a la variable de name contenida en la estructura dei caso. El siguiente es un breve 
ejemplo de como crear una estructura (o struet, como se les Hama a menudo) con 
tres miembros: name, number, e investigator_name para que todos puedan 
acceder mediante la notacion de puntos: 

from ctypes import * 

class case(Structure): 

_fields_ = [ 

("name", c_char * 16 ), 

("number", c_int), 

("investigator_name", c_char * 8) 

] 

Descargando el codigo de ejemplo 

N i Puede descargar los archivos de codigo de ejemplo de su cuenta 
C j en http://www.packtpub.com para todos los libros de Packt 
V3 Publishing que haya comprado. Si ha comprado este libro en 

otro lugar, puede visitar http://www.packtpub.com/ support y 
_ registrarse para que los archivos se envien por correo electronico 

directamente a usted. 
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Resumen 

En el primer capitulo, hemos creado nuestro entorno de laboratorio: una maquina 
Virtual con Ubuntu 14.04.2 LTS. Este paso es realmente importante, ya que ahora 
puede crear snapshots antes de trabajar en pruebas reales y son capaces de volver a 
un estado de maquina limpia despues de terminar ia investigacion. Esto puede ser 
util, especialmente, cuando se trabaja con copias de seguridad comprometidas dei 
sistema, en las que desea asegurarse de que su sistema esta limpio ai trabajar en un 
caso diferente despues. 

En ia segunda parte de este capitulo, hemos demostrado como trabajar con 
entornos virtuales de Python (virtualenv) que se utilizaran y se extenderan a 
io largo dei libro. 

En la ultima seccion de este capitulo, le presentamos Python ctypes, una biblioteca 
muy poderosa disponible para el desarrollador de Python. Con ctypes, no solo 
puede llamar a funciones en las bibliotecas vinculadas dinamicamente (API de 
Microsoft Win32 disponibles o objetos compartidos comunes de Linux), sino que 
tambien se pueden utilizarla para la manipulacion de memoria de bajo nivei. 

Despues de completar este capitulo, tendra un entorno basico creado para ser 
utilizado para el resto dei libro, y tambien comprendera los fundamentos de 
Python ctypes que seran utiles en algunos de los siguientes capitulos. 
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Algoritmos forenses 

Los algoritmos forenses son los bloques de construccion para un investigador 
forense. Independientemente de cualquier implementacion especffica, estos 
algoritmos describen los detalles de los procedimientos forenses. En la primera 
seccion de este capitulo, vamos a introducir los diferentes algoritmos que se utilizan 
en las investigaciones forenses, incluyendo sus ventajas y desventajas. 

Algoritmos 

En esta seccion, describimos las principales diferencias entre MD5, SHA256 y 
SSDEEP, los algoritmos mas comunes utilizados en las investigaciones forenses. 
Vamos a explicar los casos de uso, asl como las limitaciones y amenazas detras de 
estos tres algoritmos. Esto deberla ayudarle a entender por que es mejor usar 
SHA256 que usar MD5 y en que casos SSDEEP puede ayudarle en la investigacion. 

Antes de sumergirnos en las diferentes funciones hash, daremos un breve 
resumen de lo que es una funcion hash criptografica. 

Una funcion hash es una funcion que asigna una cantidad arbitrariamente grande 
de datos a un valor de una longitud fija. La funcion hash asegura que la misma 
entrada siempre da como resultado la misma salida, llamada suma de hash. Por 
consiguiente, una suma de hash es una caracterlstica de una pieza especffica de 
datos. 

Una funcion hash criptografica es una funcion hash que se considera 
practicamente imposible de invertir. Esto significa que no es posible crear los 
datos de entrada con un valor de suma de hash predefinido por ningun otro 
medio que intentar todos los valores de entrada posibles, es decir, la fuerza 
bruta. Por lo tanto, esta clase de algoritmos se conoce como unidireccional 
algoritmo criptografico. 
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La funcion hash criptografica ideal tiene cuatro propiedades principales, como las siguentes: 

1. Debe ser facil calcular el valor hash para cualquier entrada dada. 

2. Debe ser imposible generar la entrada original de su hash. 

3. Debe ser imposible modificar la entrada sin cambiar el hash. 

4. Debe ser imposible encontrar dos entradas diferentes con el 
mismo hash (resistente a las colisiones). 

En el caso ideal, de crea un hash de entrada dado y cambia solo un bit de esta entrada, 
el hash recien calculado se vera totalmente diferente, de la siguiente manera: 

user@lab:~$ echo -n This is a test message | md5sum 
fafb00f5732ab283681e!24bf8747edl 


user@lab:~$ echo -n This is A test message | md5sum 
aafb38820e0a3788eb41e9f5805e088e 

Si se cumplen todas las propiedades anteriormente mencionadas, el algoritmo es 
una funcion hash criptograficamente correcta y puede utilizarse para comparar, 
por ejemplo, archivos entre si para probar que no han sido manipulados durante 
el analisis o por un atacante. 


MD5 

El algoritmo de digestion de mensajes MD5 fue la funcion de hash criptografica mas 
utilizada (y sigue siendo ampliamente utilizada) produce un valor de hash de 128 
bits (16 bytes), expresado tipicamente en el formato de texto como un numero 
hexadecimal de 32 digitos como se muestra en el ejemplo anterior). Este resumen de 
mensajes se ha utilizado en una amplia variedad de aplicaciones criptograficas y se 
utiliza comunmente para verificar la integridad de los datos en las investigaciones 
forenses. Este algoritmo fue disenado por Ronald Rivest en 1991 y ha sido muy 
utilizado desde entonces. 

Una gran ventaja de MD5 es que calcula mas rapido y produce pequenos hashes. 
Los pequenos hashes son un importante punto de interes cuando es necesario 
almacenar miles de estos hashes en una investigacion forense. Imaginese cuantos 
archivos tendra una PC comun en su disco duro. Si necesita calcular un hash de 
cada uno de estos archivos y almacenarlos en una base de datos, haria una gran 
diferencia si cada hash calculado tiene 16 bytes o 32 bytes de tamano. 
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Hoy en dia, la principal desventaja de MD5 es el hecho de que ya no se considera 
que sea resistente a las colisiones. Esto significa que es posible calcular el mismo 
hash de dos entradas diferentes. Teniendo esto en cuenta, ya no es posible 
garantizar que un archivo no ha sido modificado simplemente comparando su 
hash MD5 en dos etapas diferentes de una investigacion. En este momento es 
posible crear una colision muy rapido, (ver http:// www.win.tue.nl/hashclash/ On 
%20Collisions%20for%20MD5%20-%20 MMJ% 20Stevens.pdf) pero si sigue siendo 
dificil de modificar un archivo de una manera, ahora que es una version maliciosa 
de ese archivo benigno, y mantener el hash MD5 dei archivo original. 

El muy famoso criptografo, Bruce Schneier, escribio una vez (https : //www. 
schneier.com/blog/archives/2008/12/forging_ssl_cer.html): 

" Ya sabiamos que MD5 es una funcion de hash roto "y que" nadie deberia estar 

usando MD5 mas ". 

No vamos a ir tan lejos (sobre fodo porque un monton de herramientas y servicios 
todavia utilizan MD5), pero usted debe tratar de cambiar a SE1A256 o al menos 
comprobar sus resultados con la ayuda de diferentes funciones hash en los casos 
en que es critico. Siempre que la cadena de custodia sea crucial, recomendamos 
usar algoritmos de hash multiples para probar la integridad de sus datos. 


SHA256 

SE1A-2 es un conjunto de funciones de hash criptograficas disenadas por la NSA 
(Agenda Nacional de Seguridad de los Estados Unidos) y significa "Secure Elash 
Algorithm 2nd Generation". Eia sido publicado en 2001 por el NIST como una 
norma federal estadounidense (FIPS). La familia SE1A-2 consta de varias funciones 
hash con digest (valores de hash) que estan entre 224 bits y 512 bits. Las funciones 
criptograficas SHA256 y SHA512 son las versiones mas comunes de las funciones 
hash SHA-2 calculadas con palabras de 32 bits y 64 bits. 

A pesar de que estos algoritmos calculan mas lento y que los hashes calculados son 
mas grandes en tamano (en comparacion con MD5), deben ser los algoritmos 
preferidos que se utilizan para las verificaciones de integridad durante las 
investigaciones forenses. Hoy en dia, SHA256 es una funcion de hash criptografica 
ampliamente utilizada que sigue siendo resistente a las colisiones y totalmente fiable. 

SSDEEP 

La diferencia mas grande entre MD5, SHA256 y SSDEEP es el hecho de que SSDEEP 
no se considera una funcion de hash criptografica, ya que solo cambia ligeramente 
cuando la entrada se cambia por un bit. Por ejemplo: 

user@lab:~$ echo -n This is a test message | ssdeep 
ssdeep,1.l--blocksize:hash:hash,filename 
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3:hMCEpFzA:hurs,"stdin 


user@lab:~$ echo -n This is A test message | ssdeep 
ssdeep,1.l--blocksize:hash:hash,filename 
3:hMCkrzA:hOrs,"stdin" 

Este comportamiento no es una debilidad de SSDEEP, es una gran ventaja de 
esta funcion. En realidad, SSDEEP es un programa para calcular y hacer 
coincidir los valores de Context Triggered Piecewise Hashing (CTPH). 
CTPH es una tecnica que tambien se conoce como Hashing Fuzzy y es capaz 
de coincidir con las entradas que tienen homologias. Entradas con 
homologias tienen secuencias de bytes identicos en un orden dado con bytes 
totalmente diferentes entre ellos. Estos bytes entre ellos pueden diferir en 
contenido y longitud. CTPH, originalmente basado en el trabajo dei Dr. 
Andrew Tridgell, fue adaptado por Jesse Kornblum y publicado en la 
conferencia de DFRWS en 2006 en un papel llamado Identificacion de 
Archivos Casi Identicos Usando Context Triggered Piecewise Hashing; 
consulte http:// dfrws.org/ 2006/proceedings/12-Kornblum.pdf. 

SSDEEP se puede usar para comprobar la similitud de los dos archivos y en que 
parte se encuentra la diferencia. Esta caracteristica se utiliza a menudo para 
comprobar si dos aplicaciones diferentes en los dispositivos moviles tienen una 
base de codigo comun, como se muestra a continuacion: 

user@lab:~$ ssdeep -b malware-sampleOl.apk > signature.txt 


user@lab:~$ cat signature.txt 

Ssdeep,1.l--blocksize:hash:hash,filename 

49152:FTqSf4xGvFowvJxThCwSoVpzPb03++4zlpBFrnInZWk:JqSU41dWpDIcz3BFr8Z7, 
" malware-sampleOl.apk" 


user@lab:~$ ssdeep -mb signature.txt malware-sample02.apk 
malware-sample02.apk matches malware-sampleOl.apk (75) 

En el ejemplo anterior, puede ver que la segunda muestra coincide con la primera con 
una probabilidad muy alta. Estos coincidencias indican la potencial reutilizacion dei 
codigo fuente o al menos un gran numero de archivos dentro dei archivo apk son 
identicos. Un examen manual de los archivos en cuestion se requiere para decir 
exactamente que partes dei codigo o archivos son identicos; sin embargo, ahora sabemos 
que ambos archivos son similares entre si. 
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Apoyo a Ia cadena de custodia 

Los resultados de las investigaciones forenses pueden tener un impacto severo en 
las organizaciones y los individuos. Dependiendo de su campo de trabajo, su 
investigacion puede convertirse en evidencia en el tribunal. 

En consecuencia, la integridad de la evidencia forense debe garantizarse no solo en 
la recopilacion de las pruebas, sino tambien durante toda la manipulacion y el 
analisis. Por lo general, el primer paso en una investigacion forense es reunir las 
pruebas. Normalmente, esto se hace usando una copia bit a bit de los medios 
originales. Todo el analisis posterior se realiza en esta copia forense. 

Creacion de sumas de hash de imagenes de disco completas 

Para asegurarse de que una copia forense es realmente identica a los medios 
originales, las sumas hash de los medios y de la copia forense se hacen. Estas sumas 
hash deben coincidir para probar que la copia es exactamente como los datos 
originales. Hoy en dia, se ha vuelto comun usar al menos dos algoritmos de hash 
criptograficos diferentes para minimizar el riesgo de colisiones hash y endurecer el 
proceso general contra ataques de colision hash. 

Con Linux, uno puede crear facilmente hashes MD5 y SHA256 desde una unidad o 
varios archivos. En el ejemplo siguiente, calcularemos las sumas MD5 y las sumas 
SHA256 para dos archivos, para proporcionar una prueba de contenido identico: 

user@lab:~$ md5sum /path/to/originalfile 
/path/to/forensic_copy_of_sdb. img 


user@lab:~$ sha256sum /path/to/originalfile 
/path/to/forensic_copy_of_ sdb.img 

Esta prueba de identico contenido se requiere para apoyar la cadena de custodia, es 
decir, para demostrar que los datos analizados son identicos a los datos en bruto en el 
disco. El termino sdb se refiere a una unidad conectada a la estacion de trabajo forense 
(en Linux, el segundo disco duro se Hama sdb). Para apoyar aun mas la cadena de 
custodia, se recomienda utilizar un dispositivo de bloqueo de escritura entre la 
evidencia y la estacion de trabajo forense para evitar cualquier cambio accidental de la 
evidencia. El segundo argumento representa la ubicacion de una copia bit a bit de la 
evidencia. Los comandos emiten las sumas hash para la unidad original y la copia. La 
copia puede considerarse forense si ambas sumas MD5 coinciden y ambas sumas 
SHA256 coinciden. 

Si bien el metodo mostrado en el ejemplo anterior funciona, tiene una gran 
desventaja, la evidencia y su copia tienen que leerse dos veces para calcular las 
sumas de hash. Si el disco es un disco duro de 1 TB, puede ralentizar el proceso en 
varias horas. 
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EI siguiente codigo Python lee los datos una sola vez y lo inyecta a dos calculos 
de hash. Por lo tanto, este script de Python es casi el doble de rapido que ejecutar 
md5sum seguido de sha256sum y produce exactamente las mismas sumas hash 
que estas herramientas: 

#!/usr/bin/env python 

import hashlib 
import sys 

def multi_hash(filename): 

"""Calculates the md5 and sha256 hashes 

of the specified file and returns a list 
containing the hash sums as hex strings.""" 

md5 = hashlib.md5() 
sha256 = hashlib.sha256() 

with open(filename, 'rb') as f: 

while True: 

buf = f,read(2**20) 
if not buf: 
break 

md5.update(buf) 
sha256.update(buf) 

return [md5.hexdigest(), sha256.hexdigest()] 


if name_ == ' main ' : 

hashes = [] 

print '- MD5 sums-' 

for filename in sys.argv[1:]: 
h = multi_hash(filename) 
hashes.append(h) 

print '%s %s' % (h[0], filename) 

print '-SHA2 56 sums-' 

for i in range(len(hashes)): 

print '%s %s' % (hashes[i][1], sys.argv[i+1]) 
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En la siguiente llamada de script, calculamos las sumas hash de algunas de las 
herramientas comunes de Linux: 

user@lab:~$ python multihash.py /bin/{bash,ls,sh} 

-MD5 sums- 

d79a947d06958e7826dl5a5c78bfaa05 /bin/bash 
fa97c59cc414e42d4e0e853ddf5b4745 /bin/ls 
c01bc66da867d3e840814ec96al37aef /bin/sh 
- SHA256 sums - 

cdbcb2ef76ae464ed0b22be346977355c650c5ccf61fef638308b8da60780bdd /bin/ 
bash 

846ac0d6c40d942300de825dbb5d517130d8a0803d22115561dcd85efee9c26b /bin/ls 
e9a7elfd86f5aadc23c459cb05067f49cd43038f06da0cld9f67fbcd627d622c /bin/sh 

Es crucial documentar las sumas hash de los datos originales y la copia forense en 
el informe forense. Un partido independiente puede entonces leer la misma pieza 
de evidencia y confirmar que los datos que usted analizo son exactamente los 
datos de la evidencia. 

Creacion de sumas de hash de arboles de directorios 

Una vez copiada la imagen completa, su contenido debe ser indexado y el 
hashdeben crear sumas para cada archivo. Con el soporte de la funcion 
multi_hash previamente definida y las bibliotecas estandar de Python, se puede 
crear una plantilla de informe que contenga una lista de todos los nombres de 
archivo, tamanos y valores de hash, como se muestra a continuacion: 

#!/usr/bin/env python 

from datetime import datetime 
import os 

from os.path import join, getsize 
import sys 

from multihash import multi_hash 

def dir_report(base_path, reportfilename): 

"""Creates a report containing file integrity information. 

base_path -- The directory with the files to index 
reportfilename -- The file to write the output to""" 

with open(reportfilename, 'w') as out: 

out.write("File integrity information\n\n") 
out.write("Base path: %s\n" % base_path) 
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out.write("Report created: %s\n\n" % datetime.now(). 
isoformat()) 

out.write('"SHA-25 6","MD5","FileName","FileSize"') 
out.write("\n") 

for root, dirs, files in os.walk(base_path): 
write_dir_stats(out, root, files) 

out.write("\n\n- END OF REPORT -\n") 

def write_dir_stats(out, directory, files): 

"""Writes status information on all specified files to the report. 

out -- open file handle of the report file 
directory -- the currently analyzed directory 
files -- list of files in that directory""" 

for narae in files: 

fullname = join(directory, name) 
hashes = multi_hash(fullname) 
size = getsize(fullname) 

out.write('"%s","%s","%s",%d' % (hashes[1], hashes[0], 
fullname, size)) 

out.write("\n") 


if name_ == ' main ': 

if len (sys.argv) < 3: 

print "Usage: %s reportfile basepath\n" % sys.argv[0] 
sys.exit(1) 

dir_report(sys.argv[2], sys.argv[1]) 

Este script de Python es todo lo que se necesita para generar la information de 
integridad de un arbol de directorios que incluye tamanos de archivo, nombres de 
archivo y sumas de hash (SHA256, MD5). A continuacion se muestra una llamada 
de ejemplo en nuestro directorio de secuencias de comandos: 

userglab:/home/user/dirhash $ python dirhash.py report.txt 
. userglab:/home/user/dirhash $ cat report.txt 
File integrity information 


Base path: 
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Report created: 2015-08-23T21:50:45.460940 


"SHA-256","MD5","FileName","FileSize" 

"al4f7e644d7 6e2e232e94fd720d35e59707a2543fOlaf4123abc46e8cl0330cd","9c0dl 
f70fffe5c59a7700b2b9bfd50cc","./multihash.py",879 

"a4168e4cc7f8db611b339f4f8a949fbb57ad893f02b9a65759c793d2c8b9b4aa","bcf5a 
41a403bb45974dd0ee331bla0aa","./dirhash.py",1494 

"e3b0c44298fclcl49afbf4c8996fb92427ae41e4649b934ca495991b7852b855","d41d8 
cd98f00b204e9800998ecf8427e","./report.txt",0 

"03047d8a202b03dfc5a310a81fd8358f37c8ba97e2fff8a0e7822cf7f36b5c83","41669 
9861031e0b0d7b6d24b3de946ef"./multihash.pyc",1131 


- END OF REPORT - 

Sin embargo, el archivo de informe resultante en si no tiene ninguna proteccion de 
integridad. Se recondenda firmar el informe resultante, por ejemplo, utilizando 
GnuPG, como se muestra a continuacion: 

user@lab:~$ gpg —clearsign report.txt 


Si nunca ha utilizado gpg antes, necesita generar una clave privada antes de 
poder firmar los documentos. Esto se puede hacer con el comando gpg --gen- 
key. Consulte https:// www.gnupg.org/ documentation para obtener mas 
detalles sobre GnuPG y su uso. Esto crea un archivo adicional report.txt.asc que 
contiene el informe original y una firma digital. Cualquier modificacion posterior 
de ese archivo invalida la firma digital. 

Las tecnicas descritas aqui son meramente los ejemplos de como 
apoyar la cadena de custodia. Si el analisis forense debe ser usado 
en la corte, se recomienda altamente buscar consejo legal sobre los 
requisitos de la cadena de custodia en su legislacion. 


Escenarios dei mundo real 

Esta seccion demostrara algunos casos de uso en los que los algoritmos y tecnicas 
anteriores se utilizan para apoyar al investigador. Para este capitulo, usamos dos 
ejemplos muy comunes e interesantes, Malware movil y la Biblioteca Nacional 
de Referencia de Software (NSRL). 
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Malware movil 

En este ejemplo, comprobaremos las aplicaciones instaladas en un smartphone 
Android en un sistema de analisis en linea, Mobile-Sandbox. Mobile-Sandbox es 
un sitio web que ofrece archivos gratuitos de Android para detectar virus o 
comportamiento sospechoso, http:/ / www.mobilesandbox.org. Esta conectado a 
VirusTotal, que utiliza hasta 56 diferentes productos de antivirus y motores de 
analisis para detectar virus que ia solucion de antivirus dei usuario puede haber 
no detectado o verificar en contra de cualquier falso positivo. Ademas, Mobile- 
Sandbox utiliza tecnicas personalizadas para detectar aplicaciones que actuan 
potencialmente malintencionadas. Proveedores de Software de antivirus, 
desarrolladores e investigadores detras de Mobile-Sandbox pueden recibir copias 
de los archivos para ayudar en ia mejora de su Software y tecnicas. 

En ei ejemplo, usaremos dos pasos para comparar correctamente las aplicaciones 
instaladas con las aplicaciones ya probadas en ei servitio web de Mobile-Sandbox. 

Ei primer paso es obtener las sumas de hash de las aplicaciones instaladas en el 
dispositivo. Esto es muy importante ya que estos valores pueden ayudar a 
identificar las aplicaciones y comprobarlas con los servicios en linea. Para este 
ejemplo, utilizaremos una aplicacion de Google Play, AppExtract (https:// 
play.google.com/ store/apps/details?id=de.mspreitz. Appextract). La manera 
forense mas correcta de obtener estos valores se puede encontrar en el Capitulo 6, 
utilizar Python para forense movil. 


□ 

17:58 

9 AppExtract 

© 

A 

HOME INSTALLED 

RUNNING 


AppExtract for Android generates a list of both, installed 
and running apps with a large amount of META data that 
can help to identify unwanted or even malicious 
applications. 

These lists can be transferred via your favorite email app 
to an analyst of your confidence for further analysis 

Please be patient after hitting the button below, as 
collecting the necessary data is taking some time. 


Send report to analyst 


*""Z> CZD 
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AppExtract para Android genera una lista de aplicaciones instaladas y en ejecucion 
con una gran cantidad de metadatos que pueden ayudar a identificar aplicaciones 
no deseadas o incluso maliciosas. Estos metadatos contienen la suma hash SHA256 
de los paquetes de aplicaciones, un indicador de si la aplicacion ha sido instalada 
por el usuario o el propio sistema y una gran cantidad de datos adicionales que 
pueden ayudar a identificar si la aplicacion es benigna o no. Estas listas se pueden 
transferir a traves de su aplicacion de correo electronico favorita para un analisis 
mas detallado. Una vez que reciba el correo electronico de texto sin formato con las 
listas generadas, solo tendra que copiar la lista que contiene todas las aplicaciones 
instaladas en un archivo CSV. Este archivo se puede usar para un analisis 
automatizado o abrirlo con LibreOffice Cale en el en torno de laboratorio. Puede 
ver los metadatos de la version actual dei navegador Chrome para Android en los 
siguientes apartados: 

Type;App_Name;md5;TargetSdkVersion;Package_Name;Process_Name;APK_ 

Location;Version_Code;Version_Name;Certificate_Info;Certificate_ 

SN;InstallTime;LastModified 


SystemApp;Chrome;4e4c56a8a7d8d6blec3e0149b3918656;21;com.android. 
chrome;com.android.chrome;/data/app/com.android.chrome- 
2.apk;2311109; 42.0.2311.109;CN=Android, OU=Android, 0=Google Inc., 
L=Mountain View, ST=California, 

C=US;14042372374541250701;unknown;unknown 

El segundo paso es comparar las sumas hash dei dispositivo (tercera columna en 
nuestro archivo CSV) con la base de datos Mobile-Sandbox. Esto se puede hacer 
con la ayuda de la siguiente secuencia de comandos que guardaremos como 
get_infos_mobilesandbox.py: 

#!/usr/bin/env python 
import sys, requests 

# Authentication Parameters 

# if you need an API key and user narae please contact @m_spreitz 
API_FORMAT = 'json' 

APIJJSER = ' ' 

API KEX = ' 

# parsing mput parameters 
if (len(sys.argv) < 3): 


print "Get infos to a specific Android app from the Mobile- 
Sandbox . " 

print "Usage: %s requests [type (md5,sha256)] [value]" % sys. 
argv[0] 

sys.exit(0) 

# building the payload 
payload = {'format':API_FORMAT, 
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'username':API_USER, 

'api_key':API_KEY, 

'searchType':str(sys.argv[1]), # has to be md5 or sha256 

'searchValue':str(sys.argv[2])} 

# submitting sample hash and getting meta data 

print "-" 

r = requests.get("http://mobilesandbox.org/api/bot/queue/get_info/", 
params=payload) 

# printing resuit and writing report file to disk 
if not r.status_code == requests.codes.ok: 

print "query resuit: \033[91m" + r.text + "\033[0m" 
else: 

for key, value in r.json().iteritems(): 

print key + \033[94m" + str(value) + "\033[0m" 

print "-" 

EI script se puede utilizar como se muestra: 

(labenv)userglab:~$ ./get_infos_mobilesandbox.py md5 
4e4c56a8a7d8d6blec3e0149b3918656 


status: done 
min_sdk_version: 0 
package_name: com.android.chrome 
apk_name: Chrome.apk 
AV_detection_rate: 0/56 
drebin_score: benign (1.38173) 
sample_origin: user upload 
android_build_version: Android 1.0 
ssdeep: 

196608:ddkkKqfC+ca8eE/jXQewwn5uxlaDn9PpvPBic6aQmAHQXPOo:dBKZaJYXQ 
E5u3ajtpvpeaQml 

sha256: 79deldc6af66e6830960d6f991cc3e416fd3ce63fb786db6954a3ccaa7f7323c 
malware_family: - 

md5: 4e4c56a8a7d8d6blec3e0149b3918656 
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Con la ayuda de estas tres herramientas, es posible comprobar rapidamente si una 
aplicacion en un dispositivo movil esta potencialmente infectada (ver las partes 
resaltadas en la respuesta) o al menos por donde comenzar con la investigacion 
manual si una aplicacion no ha sido probada antes. 

NSRLquery 

Para aumentar la eficiencia en el analisis forense, es crucial ordenar los archivos 
que pertenecen a Software conocido y no han sido modificados. La National 
Software Reference Library (NSRL) mantiene multiples listas de sumas de hash 
para el contenido conocido. NSRL es un proyecto dei Departamento de Seguridad 
Nacional de los Estados Unidos, mas detalles estan disponibles en http:// 
www.nsrl.nist.gov/. Es importante entender que estas listas de sumas de hash 
simplemente indican que un archivo no fue modificado en comparacion con la 
version que fue presentada al NSRL. En consecuencia, es normal que una gran 
cantidad de archivos, que deben ser analizados durante una investigacion forense, 
no estan listados en NSRL. Por otro lado, incluso los archivos listados pueden ser 
utilizados e implementados por un atacante como una herramienta. Por ejemplo, 
una herramienta como psexec.exe es un programa proporcionado por Microsoft 
para administracion remota y que aparece en NSRL. Sin embargo, un atacante 
puede haberlo desplegado para sus fines maliciosos. 

^Que lista de NSRL se debe usar? 

NSRL consta de varios conjuntos de hash. Se recomienda 
encarecidamente comenzar con el minimal set. Este conjunto solo 
contiene una suma de hash por archivo, lo que significa que solo se 
conoce una version de archivo. “* 

El conjunto minimo se ofrece de forma gratuita para descargar en la pagina principal dei NIST. 
La descarga consta de un unico archivo ZIP con la lista hash y una lista de productos de 
Software compatibles como los contenidos mas destacados. 

Los hashes se almacenan en el archivo NSRLFile. txt que contiene un hash de 
archivo por linea, por ejemplo: 

"3CACD204 8DB88F4F2E8 63B6DE3B1FD197 922B3F2","0BEA3F7 9A36B1F67B2CE0F5 95 
5 24C77C","C39B9F35", "TWAIN.DLL", 94784,14965,"358", "" 

Los campos de este registro son los siguientes: 

• La suma de hash dei archivo que se calcula con SE1A-1, un predecesor dei 
algoritmo SHA-256 deserito anteriormente. 

• La suma de hash dei archivo que se calcula con MD5. 

• La suma de comprobacion CRC32 dei archivo. 

• El nombre dei archivo. 
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• EI tamano dei archivo en bytes. 

• Un codigo de producto que indica ei producto de Software al que pertenece este 
archivo. Ei archivo NSRLProd. txt contiene una lista de todos los productos y 
puede utilizarse para buscar ei codigo dei producto. En ei ejemplo anterior, ei 
codigo 14965 denota Microsoft Picture It!. 

• Ei sistema operativo donde se espera este archivo. La lista de codigos dei 
sistema operativo se puede encontrar en nsrlos . txt. 

• Un indicador de si este archivo debe considerarse normal un archivo 
malicioso ("N") o especial ("S"). Mientras este indicador forma parte de la 
especificacion, todos los archivos dei conjunto minimo NSRL actual se 
establecen como normales. 

Mas detalles sobre las especificaciones de archivo se pueden encontrar en http: //www. nsrl. nist. 
gov/Documents/Data-Formats-of-the-NSRL-Reference-Data-Set-16.pdf. 


Descarga e instalacion de nsrlsvr 


Actualmente, la base de datos NSRL contiene mas de 40 millones de hashes 
distintos en un conjunto minimo. Una busqueda basada en texto tardaria unos 
minutos, incluso en una estacion de trabajo actualizada. Por lo tanto, es 
importante realizar busquedas eficaces en esa base de datos. La herramienta 
nsrlsvr de Rob Elanson proporciona un servidor que soporta busquedas 
eficientes. Esta disponible en https://rjhansen.github.io/nsrlsvr/. 

Tambien hay servidores publicos NSRL en Internet que puede utilizar. 
LC" \ Estos son generalmente realizadas sobre una base como esta. Sin 
NcU-" embargo, para probar conjuntos mas pequenos de hashes, puede utilizar el 
servidor publico de Robert Hanson nsrllookup.com y continuar leyendo la 
siguiente seccion. 

Para compilar el Software en un sistema Linux, las herramientas de compilador 
c ++, automake y autoconf deben estar instaladas. Las instrucciones de 
instalacion detalladas, incluyendo todos los requisitos, se proporcionan en el 
archivo install. 



Instalacion de nsrlsvr en un directorio que no sea el predeterminado 

El directorio de instalacion de nsrlsvr se puede cambiar llamando al 
script de conf iguracion con el parametro --pref ix. El valor dei 
parametro indica el directorio de destino. Si se especifica un directorio 
que puede ser escrito por el usuario, la instalacion no requiere 
privilegios de root y puede quitarse por completo eliminando el 
directorio de instalacion. 
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EI nsrlsrv mantiene su propia copia de todas las sumas hash MD5 de la base de 
datos NSRL. Por lo tanto, es necesario inicializar la base de datos hash. La 
herramienta nsrlupdate necesaria se proporciona con nsrlsrv. 

user@lab:~$ nsrlupdate your/path/to/NSRLFile.txt 

Despues de que la base de datos este completamente poblada, el servidor se puede 
iniciar simplemente llamando a: 

user@lab:~$ nsrlsvr 

Si todo se instala correctamente, este comando se devuelve sin proporcionar 
ninguna salida y el servidor comienza a escuchar el puerto TCP 9120 para las 
solicitudes. 

Escribir un cliente para nsrlsvr en Python 

Tambien hay una herramienta de cliente para usar nsrlsvr llamada nsrllookup. El 
cliente esta escrito en C ++ y esta disponible en https://rjhansen.github.io/ 
nsrllookup/. Sin embargo, un cliente para interactuar con nsrlsvr puede ser 
facilmente implementado en Python nativo. En esta seccion se explica el protocolo 
y se muestra una implementacion un ejemplo de dicho cliente. 

El nsrlsvr implementa un protocolo orientado a texto en su puerto de red 9120. 

Cada comando consta de una linea de texto seguida de una nueva linea (CR LF). 

Se admiten los siguientes comandos: 

• version: 2.0: El comando version se utiliza para el handshake inicial entre el 
cliente nsrl y nsrlsvr. Se supone que el cliente debe proporcionar su version 
despues dei colon. El servidor siempre respondera con OK seguido de un 
salto de linea. 

• query 5CB360EF546633691912089DB24A82EE 
908A54EB629F410C647A573F91E80775 

BFDD76C4DD6F8C0C2474215AD5E193CF: El comando de consulta se 
utiliza para consultar realmente la base de datos NSRL desde el servidor. La 
consulta de palabras clave es seguida por una o varias sumas de hash MD5. 
El servidor respondera con OK seguido de una secuencia de ceros y unos. 

Un 1 indica que la suma hash MD5 se encontro en la base de datos y un 0 
indica que no habia coincidencia. Por ejemplo, la consulta mostrada 
anteriormente llevaria a la siguiente respuesta: 

OK 101 

Esto significa que el primer y el ultimo hash MD5 se encontraron en 
NSRL, pero no se pudo encontrar la suma de hash media. 

• BYE: El comando bye termina la conexion con el nsrlsvr. 
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En consecuencia, la siguiente rutina de Python es suficiente para consultar 
eficientemente la base de datos NSRL: 

#!/usr/bin/env python 

import Socket 

NSRL_SERVER='127.0.0.1' 

NSRL_PORT=9120 

def nsrlquery(md5hashes): 

"""Query the NSRL server and return a list of booleans. 
Arguments: 

md5hashes -- The list of MD5 hashes for the query. 


s = socket.socket(socket.AF_INET, socket.SOCK_STREAM) 
s.connect((NSRL_SERVER, NSRL_PORT)) 

try: 

f = s.makefile('r') 
s.sendall("version: 2.0\r\n") 
response = f.readline(); 
if response.strip() != 'OK': 

raise RuntimeError('NSRL handshake error') 

query = 'query ' + ' '.join(md5hashes) + "\r\n" 

s.sendall(query) 
response = f.readline(); 

if responset:2] != 'OK': 

raise RuntimeError('NSRL query error') 

return [c=='l' for c in response[3:].strip()] 
finally: 

s.close() 

EI uso de este modulo es tan facil como se muestra aqul: 

import nsrlquery 

hashes = ['86d3d86902b09d963afc08ea0002a746', 

'3dcfe9688ca733a76f82d03d7ef4a21f' , 

'97 6felfe51294 5e390bal0f 6964 565bf'] 
nsrlquery.nsrlquery(hashes) 
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Este codigo consulta el servidor NSRL y devuelve una lista de booleanos, cada 
uno indicando si el hash MD5 correspondiente se ha encontrado en la lista de 
archivos NSRL. 

Resumen 

Este capitulo proporciona una vision general de los dominios de los algoritmos 
forenses y de ejemplo para cada uno de estos dominios. Tambien le mostramos 
como comparar aplicaciones instaladas en un dispositivo Android con servicios 
web como Mobile-Sandbox. En el segundo ejemplo dei mundo real, hemos 
demostrado como ordenar los archivos benignos y conocidos de un sistema 
Windows para reducir la cantidad de datos que se van a analizar manualmente. 
Con NSRLquery, las investigaciones forenses pueden centrarse en contenido 
nuevo o modificado y no necesitan perder tiempo en el contenido ampliamente 
conocido de las aplicaciones estandar. 

En los siguientes capitulos, estos algoritmos se aplicaran a una seleccion de 
tipos de dispositivos, sistemas operativos y aplicaciones para su uso durante 
la investigacion forense. 
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3 

Uso de Python para Windows 

y Linux Forensics 


En este capitulo, nos centraremos en las partes de la investigacion forense que son 
especificas de los sistemas operativos. Elegimos los sistemas operativos mas 
utilizados en los sistemas de escritorio y servidores: Microsoft Windows y Linux. 

Para ambos sistemas operativos, seleccionamos ejemplos de evidencia interesante 
y como automatizar su analisis usando Python. En consecuencia, en este capitulo 
aprendera lo siguiente: 

• Analizar los fundamentos dei registro de eventos de Windows, 
seleccionar partes interesantes y analizarlos automaticamente 

• Organizacion dei Registro de Windows y busqueda eficiente de Indicadores 
de Compromiso (IOC) 

• Buscar informacion de la cuenta local de Linux para COI 

• Entender, usar y analizar los metadatos de archivos Linux con POSIX ACL 
y capacidades basadas en archivos como las extensiones mas destacadas 
de los metadatos estandar 
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Analizando el registro de eventos de Windows 

Windows incluye muchas capacidades de monitoreo y registro y rastrea los datosy 
eventos para una gran cantidad y variedad de actividades que ocurren en el sistema 
operativo. El gran numero de eventos, que se pueden registrar, tampoco facilita que 
un administrador identifique los eventos importantes especificos ni ayuda a un 
investigador forense a encontrar Indicadores de Compromiso. Por lo tanto, 
comenzaremos esta seccion con una pequena introduccion al registro de eventos de 
Windows y los cambios en su formato en el tiempo, seguido de una descripcion de 
los tipos de eventos importantes que deberian ayudar a un investigador a encontrar 
rapidamente acciones sospechosas en la gran cantidad de otros eventos. En la ultima 
seccion de este capitulo, demostraremos como analizar el registro de sucesos y 
encontrar automaticamente las posibles IOCs (por ejemplo, inicios de sesion de 
usuarios, creacion de servicios, etc.). 

El registro de eventos de Windows 

Segun Microsoft, los archivos dei registro de eventos de Windows son archivos 
especiales que registran eventos significativos, como cuando un usuario inicia 
sesion en el equipo o cuando un programa encuentra un error (consulte http:/ / 
windows.microsoft.com/ en-us/Windows/ what-information-event-logs-event- 
viewer#lTC=windows-7). Cuando se producen estos tipos de eventos, Windows 
registra el evento en un registro de eventos que se puede leer mediante el Visor 
de eventos o herramientas similares. 

Con la publicacion de Windows 7 y Windows Server 2008, Microsoft ha realizado 
un cambio importante en su tecnica de registro de eventos. Cambiaron dei clasico 
registro de eventos de Windows (EVT) al nuevo registro de eventos de 
Windows XML (EVTX). En los parrafos siguientes, explicaremos algunas de las 
principales diferencias entre estos dos tipos de archivo de registro. 

Debido al hecho de que Microsoft ya no soporta Windows XP y Server 2003 esta en 
la fase de soporte extendido en el presente (lo que significa que saldra de soporte 
muy pronto), hay sistemas XP y 2003 todavia por ahi. Asi, algunos investigadores 
todavia van a necesitar saber la diferencia entre el EVT mas viejo y el nuevo EVTX y 
los problemas posibles que surgen durante el analisis de estos archivos. 

Ademas de las diferencias binarias en los registros y los archivos de registro de 
eventos en si mismos, la cantidad de estos archivos de registro tambien difiere. En 
un sistema Windows XP / 2003, habia tres archivos de registro de eventos 
principales: Sistema, Aplicacion y Seguridad. Se almacenan en el directorio C: 
\Windows\system32\config. Las versiones de servidor dei sistema operativo 
pueden mantener registros de eventos adicionales (servidor DNS, servicio de 
directorio, servicio de replicacion de archivos, etc.) segun la funcionalidad dei 
servidor. En un sistema Windows 7 actual, puede encontrar mas de 143 archivos 
llenos de registros de eventos. Esto obtiene aun mas si lo comparas con las 
versiones de servidor mas nuevas de Microsoft Windows 
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Los registros de registro EVT solo contienen una cantidad muy pequena de 
contenido legible por humanos y se hacen legibles por medio de herramientas 
tales como el visor de eventos en el momento dei analisis. Estas herramientas 
combinan las plantillas de registro predefinidas que se almacenan comunmente 
en los archivos DLL o EXE dei sistema con los datos almacenados en el propio 
archivo EVT. Cuando una de las diversas herramientas de visualizacion de 
registros muestra registros de registro, tiene que determinar que archivos DLL 
almacenaran las plantillas de mensaje. Esta meta-informacion se almacena en el 
Registro de Windows y es especifica para cada tipo de los tres archivos de 
registro de sucesos (Sistema, Aplicacion y Seguridad) mencionados 
anteriormente. 

Todos los detalles mencionados anteriormente siguen el hecho de que los archivos 
EVT no son realmente utiles sin sus metarchivos correspondientes, que almacenan 
el significado Central dei registro. Esto crea dos problemas de analisis principales: 

• En primer lugar, un atacante podria modificar archivos DLL o el Registro de 
Windows para cambiar el significado de los registros de eventos sin tener 
que tocar el archivo EVT. 

• En segundo lugar, cuando el Software se desinstala en un sistema, podria 
hacer que los registros EVT perdieran su contexto. 

Como investigador, hay que tener cuidadosamente en cuenta estas cuestiones cuando se 
analizan registros EVT y tambien cuando se escriben esos registros en sistemas remotos para 
analisis posterior. Un analisis aun mas detallado de los registros EVT se puede encontrar en el 
ForensicsWiki, http:// forensicswiki.org/ wiki/Windows_Event_Log_(EVT). 

En comparacion con EVT, los archivos EVTX se almacenan como un formato de archivo 
XML binario. En los sistemas Windows mas recientes, los registros de eventos se 
pueden ver y analizar con el Visor de eventos o con un gran numero de otros 
programas y herramientas (en las siguientes secciones, describiremos algunos Scripts de 
Python que se pueden utilizar tambien). Cuando se utiliza el visor de eventos, hay que 
tener en cuenta que este programa puede representar los archivos EVTX en dos 
formatos diferentes: general y detallada. La vista general (a veces llamada formateada) 
puede ocultar datos de eventos significativos que se almacenan en el registro de eventos 
y solo se pueden ver en la vista detallada. Por lo tanto, si esta planeando utilizar el Visor 
de eventos para analizar los archivos EVTX, utilice siempre la opcion detallada para 
mostrar los archivos. 

Si estas interesado en un analisis mas detallado dei formato de archivo EVTX, 
deberfas echar un vistazo a ForensicsWiki, http:// forensicswiki.org/ wiki/ 

Windows_ XML_Event_Log_ (EVTX). Otra gran explicacion de los detalles mas 
profundos dei formato de archivo EVTX ha sido presentada por Andreas Schuster 
en DFRWS 2007, consulte http:// www.dfrws.org/2007/proceedings/ p65- 
schuster_pres.pdf. Esta presentacion puede ser muy util si desea comprender los 
detalles dei formato XML binario o escribir sus propios analizadores de archivos 
EVTX. 


[31] 


share-video.net 





Using Python for Windows and Linux Forensics _ 

Si necesita abrir los archivos EVT en un sistema Windows 7 o superior, es mejor 
convertir el archivo EVT antiguo a la sintaxis EVTX antes de abrirlo. Esto se 
puede hacer de varias maneras como se describe en una entrada dei blog 
http://blogs.technet. com/b/askperf/archive/2007/10/12/windows-vista- 
and-exported-event-log-files.aspx. 

Eventos interesantes 

Una lista completa de eventos de Windows en el sistema mas reciente se puede encontrar 
en un articulo de la base de conocimiento de Microsoft en, https:// support.microsoft.com/ 
en-us/kb/947226. A medida que el numero de estos eventos es cada vez mayor con cada 
nueva version dei sistema y cada aplicacion recien instalada, puede encontrar facilmente 
mas de varios cientos de tipos de eventos diferentes en un unico sistema Windows. Debido 
a este hecho, hemos tratado de resolver algunos tipos de eventos interesantes que pueden 
ser utiles al analizar un sistema o reconstruir eventos de usuario (una explicacion mas 
detallada de que registros de eventos pueden ser utiles, en que condiciones tambien se 
pueden encontrar en TSA-13- 1004-SG, https://www. nsa.gov/ ia/_files/app/ 
spotting_the_adversary_with_windows_event_log_ monitoring.pdf): 

• Si la organizacion esta utilizando activamente el Microsoft Enhanced 
Mitigation Experience Toolkit (EMET), estos registros pueden ser muy 
utiles durante la investigacion. 

• Windows-Update-Failure (20,24, 25,31,34,35): El problema de no 
solucionar los problemas debe ser tratado para evitar prolongar la existencia 
de un problema de aplicacion o vulnerabilidad en el sistema operativo o una 
aplicacion. A veces, esto tambien ayuda en la identificacion de infecciones de 
un sistema. 

• Microsoft-Windows-Eventlog (104,1102): Es poco probable que los datos dei 
registro de eventos se borren durante las operaciones normales y es mas 
probable que un atacante malicioso pueda tratar de cubrir sus pistas 
borrando un registro de eventos. Cuando se borra un registro de eventos, es 
sospechoso. 

• Microsoft-Windows-TaskScheduler (106): Muestra Tareas programadas 
recien registradas. Esto puede ser muy util si esta buscando signos de 
infecciones de malware. 

• McAfee-Log-Event (257): McAfee AntiVirus puede detectar 
comportamientos de malware sin detectar realmente el archivo EXE. Esto 
puede ser muy valioso en la determinacion de como el malware entro en un 
sistema. En general, los registros de eventos de la solucion AV instalada son 
registros muy valiosos al iniciar un analisis de un sistema potencialmente 
comprometido. Por lo tanto, debe recordar donde encontrar esos registros en 
el registro de eventos. 
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• Microsoft-Windows-DNS-Client (1014): Tiempo de espera de resolucion 
de nombres DNS; este tipo de evento tambien puede ser muy util cuando 
se busca malware o cuando se intenta averiguar si un usuario ha intentado 
conectarse a un sitio web o servitio especifico. 

• Firewall-Rule-Add/Change/Delete (2004,2005,2006,2033): Si las estaciones 
de trabajo cliente estan aprovechando el Firewall de Windows basado en 
host incorporado, entonces hay valor en la recopilacion de eventos para 
rastrear el estado dei cortafuegos. Los usuarios normales no deben estar 
modificando las regias de firewall de su maquina local. 

• Microsoft-Windows-Windows Defender (3004): Registros de 
deteccion de malware de Windows Defender. 

• Microsoft-Windows-Security-Auditing (4720,4724,4725,4728,4732,4635, 
4740,4748,4756): En estos registros, puede encontrar informacion como los 
inicios de sesion de escritorio remoto y los usuarios que se han agregado a 
grupos privilegiados y tambien se pueden rastrear los bloqueos de cuentas. 
Las cuentas de usuario que se estan promoviendo a los grupos 
privilegiados deben ser auditadas muy de cerca para asegurarse de que, de 
hecho, se supone que los usuarios estan en un grupo privilegiado. La 
membresia no autorizada de los grupos privilegiados es un fuerte 
indicador de que se ha producido una actividad maliciosa. 

• Service-Control-Manager (7030, 7045): Supervisa si un servitio esta 
configurado para interactuar con el escritorio o se ha instalado en el 
sistema en general. 

• App-Locker-Blocl</Warning (8003,8004,8006,8007): Los eventos de listas 
blancas de aplicaciones deben recopilarse para buscar las aplicaciones que 
han sido bloqueadas desde la ejecucion. Cualquier aplicacion bloqueada 
podria ser malware o los usuarios que intenten ejecutar un Software no 
aprobado. 

Harlan Carvey declaro en uno de sus posts en el blog ((http://windowsir.blogspot. 
de/2014/10/windows-event-logs.html) que mas alia de los registros de eventos 
individuales (source/ID pairs), uno de los aspectos de las versiones mas recientes 
de Windows (en particular, Windows 7) es que hay un monton de eventos que se 
estan grabando de forma predeterminada en varios archivos de registro de eventos. 
Por lo tanto, cuando se producen algunos eventos, los registros de eventos 
multiples se almacenan en diferentes tipos de registro de eventos y ha menudo a 
traves de diferentes archivos de registro de eventos. Por ejemplo, cuando un 
usuario initia sesion en un sistema de consola, se registrara un evento en el registro 
de eventos de seguridad, se registraran un par de eventos en el registro Microsoft- 
Windows-TerminalServices-LocalSessionManager/Operational log, and a couple of 
events will also be recorded in the Microsoft-Windows-TaskScheduler/Operational 
log. 


[ 33 ] 



Using Python for Windows and Linux Forensics _ 

EI registro de eventos tambien se puede utilizar para detectar si un atacante ha utilizado 
algun tipo de tecnicas anti-forense. Una de esas tecnicas seria cambiar el tiempo dei 
sistema para enganar a un investigador. Para detectar este tipo de modificacion, un 
investigador tiene que enumerar todos los registros de registro de eventos disponibles 
por el numero de secuencia y el tiempo generado. Si la hora dei sistema se ha revertido, 
existiria un punto en el que el momento en que se genero un evento era anterior al 
evento anterior. Algunos ejemplos mas de deteccion de tecnicas anti-forense con la 
ayuda de Windows Event Log se pueden encontrar en una entrada de blog de Harlan 
Carvey, en http://windowsir.blogspot. de/2013/07/howto-determinedetect-use-of- 
anti.html. 

Analizar el registro de eventos para IOC 

Cuando se habla de registros de eventos y se analizan estos registros con Python, no 
hay forma de evitar python-evtx. Estas secuencias de comandos (https:// 
github.com/williballenthin/ python-evtx) se han desarrollado utilizando las 
etiquetas 2.7+ dei lenguaje de programacion Python. Como es puramente Python, el 
modulo funciona igualmente bien en las plataformas. El codigo no depende de 
ningun modulo que requiera una compilacion separada y opera en los archivos de 
registro de eventos de los sistemas operativos Windows que son mas recientes que 
Windows Vista que es EVTX. 

La segunda herramienta que queremos que Hama su atencion es plaso, (refierase a 
http://plaso.kiddaland.net/). Este conjunto de herramientas ha evolucionado desde 
log2timeline y ahora esta construido en Python. Con la ayuda de este conjunto de 
herramientas, puede crear cronogramas significativos de los eventos dei sistema y 
otros archivos de registro (por ejemplo, Apache). Tambien hay una muy buena hoja 
de trucos, http:// digital-forensics.sans.org/ media/log2timeline_cheatsheet.pdf para 
log2timeline que demuestra el verdadero poder de esta herramienta. Una de las 
grandes ventajas de este conjunto de herramientas es el hecho de que incluso se 
puede ejecutar en una imagen completa de un sistema para generar una Irnea de 
tiempo de todas las acciones que los usuarios realizaron en ese sistema antes de 
crear la imagen. 

En las secciones siguientes, mostraremos algunos ejemplos de como utilizar python- 
evtx para encontrar el IOC en el registro de eventos de Windows y como plaso le 
ayudara a identificar mas IOC y mostrarlos en una linea de tiempo bien formateada. 

El parser python-evtx 

Antes que nada, queremos comenzar con una conversion basica dei formato 
XML binario de los archivos EVTX a los archivos XML legibles. Esto se 
puede hacer usando evtxdump.py, https:// github.com/ williballenthin/ 
python-evtx, que tambien sera la base de nuestros siguientes Scripts: 

#!/usr/bin/env python 
import mmap 
import contextlib 
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import argparse 

from Evtx.Evtx import FileHeader 

from Evtx.Views import evtx_file_xml_view 

def main(): 

parser = argparse.ArgumentParser(description="Dump a binary EVTX 
file into XML.") 

parser.add_argument("--cleanup", action="store_true", 
help="Cleanup unused XML entities (slower)"), 

parser.add_argument("evtx", type=str, help="Path to the Windows 
EVTX event log file") 

args = parser.parse_args() 

with open(args.evtx, 'r') as f: 

with contextlib.closing(mmap.mmap(f.fileno(), 0, access=mmap. 
ACCESS_READ)) as buf: 

fh = FileHeader(buf, 0x0) 

print "<?xml version=\"l.0\" encoding=\"utf-8\" 
standalone=\"yes\" ?>" 

print "<Events>" 

for xml, record in evtx_file_xml_view(fh): 

print xml 
print "</Events>" 

if name_ == " main " : 

main() 

Cuando se descarga un evento de inicio de sesion (identificador de evento 4724) con 
la ayuda dei script mencionado anteriormente, el resultado sera similar al siguiente: 

<Event xmlns="http://schemas.microsoft.com/win/2004/08/events/ 
event"XSystemXProvider Name="Microsoft-Windows-Security- 
Auditing" Guid="54 84 9625-547 8-4 994-a5ba-3e3b032 8c30d"X/Provider> 

<EventID Qualifiers="">4724</EventID> 

<Version>0</Version> 

<Level>0</Level> 

<Task>13824</Task> 

<Opcode>0</Opcode> 

<Keywords>0x8020000000000000</Keywords> 

<TimeCreated SystemTime="2013-ll-21 10:40:51.552799"X/TimeCreated> 

<EventRecordID>115</EventRecordID> 

<Correlation ActivityID="" RelatedActivityID=""></Correlation> 
<Execution ProcessID="452" ThreadID="1776"></Execution> 
<Channel>Security</Channel> 
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<Computer>windows</Computer> 

<Security UserID=""></Security> 

</System> 

<EventDataXData Name="TargetUserName">mspreitz</Data> 

<Data Name="TargetDomainName">windows</Data> 

<Data Name="TargetSid" 

>S-l-5-21-3147386740-1191307685-1965871575-1000</Data> 

<Data Name="SubjectUserSid">S-l-5-18</Data> 

<Data Name="SubjectUserName">WIN-PC9VCSAQB0H$</Data> 

<Data Name="Subj ectDomainName">WORKGROUP</Data> 

<Data Name="SubjectLogonId">0x00000000000003e7</Data> 

</EventData> 

</Event> 

AI usar evtxdump.py, https://github.com/williballenthin/python-evtx, con 

un archivo de registro de eventos de Windows grande, la salida sera muy grande ya 
que encontrara todos los registros grabados en el archivo XML generado. Para un 
analista, a menudo es importante realizar una clasificacion rapida o buscar eventos 
especificos rapidamente. Debido a esto, modificamos el script de manera tal que es 
posible extraer solo eventos especificos, como se muestra acontinuacion: 

#!/usr/bin/env python 

import mmap 

import contextlib 

import argparse 

from xml.dom import minidom 

from Evtx.Evtx import FileHeader 

from Evtx.Views import evtx_file_xml_view 

def main(): 

parser = argparse.ArgumentParser(description="Dump specific 
event ids from a binary EVTX file into XML.") 

parser.add_argument("--cleanup", action="store_true", 
help="Cleanup unused XML entities (slower)"), 

parser.add_argument("evtx", type=str, help="Path to the 
Windows EVTX event log file") 

parser.add_argument("out", type=str, help="Path and name of the 
output file") 

parser.add_argument("--eventID", type=int, help="Event id 
that should be extracted") 

args = parser.parse_args() 

outFile = open (args.out, 'a+') 
with open(args.evtx, 'r') as f: 
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with contextlib.closing(mmap.mmap(f.fileno(), 0, access=mmap. 
ACCESS_READ)) as buf: 

fh = FileHeader(buf, 0x0) 

outFile.write("<?xml version=\"l.0\" encoding=\"utf-8\" 
standalone=\"yes\" ?>") 

outFile.write("<Events>") 

for xml, record in evtx_file_xml_view(fh): 
xmldoc = minidom.parseString(xml) 

event_id = xmldoc.getElementsByTagName('EventID')[0]. 
childNodes[0].nodeValue 

if event_id == str (args.eventID) : 

outFile.write(xml) 
else: 

continue 

outFile.write("</Events>") 

if name_ == " main ": 

main () 

Si ahora desea extraer todos los eventos de inicio de sesion dei registro de eventos de 
seguridad de un sistema Windows en un archivo XML dado, solo tiene que ejecutar 
el script de la siguiente manera: 

user@lab:~$ ./evtxdump.py security.evtx logon_events.xml -eventID 4724 

Las herramientas plaso y log2timeline 

En esta seccion, mostraremos como encontrar los eventos de inicio de sesion y cierre 
de sesion en un Terminal Server. Los eventos de inicio de sesion y cierre de sesion de 
los Servicios de Terminal Server pueden etiquetarse utilizando plasm y filtrarse 
usando psort para obtener una descripcion rapida de que usuarios han iniciado 
sesion en una maquina y cuando y donde. Esta informacion puede ser muy util al 
buscar compromisos. Para comenzar con el plaso, primero necesita etiquetar todos 
sus datos. Etiquetar con plaso es tan facil como se muestra acontinuacion: 
user@lab:~$ ./plasm.py tag --tagfile=tag_windows.txt storage_file 

Despues dei etiquetado exitoso, puede buscar en el archivo de 
almacenamiento las etiquetas con el siguiente comando: 

user@lab:~$ ./psort.py storage_file "tag contains 'Session logon 
succeeded'" 

El resultado de esta ejecucion de comando le mostrara todos los eventos de inicio 
de sesion exitosos en un sistema determinado. Se pueden ejecutar comandos 
similares al buscar los servicios que se inician o fallas de EMET. 
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Ahora que ha visto el tipo de datos que puede extraer dei Registro de eventos de 
Windows, le mostraremos un segundo componente de Microsoft Windows que es 
realmente util a la hora de buscar el IOC o al intentar reconstruir el 
comportamiento dei usuario. 

Analizando el registro de Windows 

El Registro de Windows es uno de los componentes esenciales de los sistemas 
operativos actuales de Microsoft Windows y, por lo tanto, tambien es un punto muy 
importante en una investigacion forense. Realiza dos tareas criticas para el sistema 
operativo Windows. Primero, es el repositorio de configuraciones para el sistema 
operativo Windows y las aplicaciones que estan instaladas en el sistema. Segundo, 
es la base de datos de la configuracion de todo el hardware instalado. Microsoft 
define el registro de la siguiente manera: 

" Una base de datos jerdrquica Central utilizada en Microsoft Windows 98, 

Windows CE, Windows NT y Windows 2000 utilizada para almacenar 
informacion necesaria para configurar el sistema para uno o mas usuarios, 
aplicaciones y dispositivos de hardware". (Diccionario de equipos de Microsoft) 

En las siguientes secciones, explicaremos varios elementos dei Registro de Windows 
que pueden ser importantes para un investigador forense y que ayudan a 
comprender donde encontrar los indicadores mas valiosos. Comenzaremos con una 
descripcion general de la estructura para ayudarlo a encontrar su camino a traves de 
la gran cantidad de datos en el registro. Luego, demostraremos algunos Scripts utiles 
para extraer los indicadores de compromiso (IOC). 

Estructura dei registro de Windows 

En el sistema operativo de Windows, el Registro de Windows se organiza 
logicamente en varias claves raiz. Elay cinco claves raiz logicas en el Registro de 
Windows de un sistema Windows 7, como se muestra a continuacion: 
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La figura anterior muestra las cinco claves de raiz dei Registro en un sistema de 
Windows 7 que se muestran en el Editor dei Registro de Windows (una de las 
herramientas mas comunes para ver y examinar el Registro de Windows). 

Hay dos tipos de claves de raiz: volatil y no volatil. Solo hay dos claves raiz que se 
almacenan en el disco duro dei sistema y los datos no volatiles se mantienen en la 
memoria principal: HKEY_LOCAL_MACHINE y HKEY_USERS. Las otras 
claves raiz son los subconjuntos de estas claves o son las claves volatiles que solo 
se pueden examinar durante el tiempo de ejecucion o al descargar la memoria de 
un sistema antes de comenzar el analisis de su imagen. 

El sistema operativo de Windows organiza el Registro en varios archivos de la colmena. 
De acuerdo con Microsoft,(Referencia https : //msdn .microsoft. com/en-us/ 
library/ windows/desktop/ms724877%28v=vs . 85%29 . aspx), la colmena se define 
de la siguiente manera: 

Una colmena es un grupo logico de claves, subclaves y valores en el registro que tiene 
un conjunto de archivos auxiliares que contienen las copias de seguridad de sus datos. 

Si un nuevo usuario inicia sesion en una maquina con Windows, se crea una 
seccion de perfil de usuario. Esta seccion contiene informacion de registro 
especifica (por ejemplo, configuracion de la aplicacion, entorno de escritorio, 
conexiones de red e impresoras) y se encuentra en la clave HKEY_USERS. 

Cada seccion tiene archivos adicionales que se almacenan en el directorio % 
SystemRoot%\ System32\Config directory. Estos archivos se actualizan cada vez 
que un usuario inicia sesion y las extensiones de nombre de archivo de estos 
directorios indican el tipo de datos que contienen. Consulte la siguiente tabla para 
obtener mas detalles (referencia tomada de https:// msdn.microsoft.com/ en-us/ 
library/Windows/desktop/ms724877%28v=vs.85%29.aspx): 


Extensiori 


none 


. ait 


. log 


Descripcion 


Una copia completa de los datos de la colmena. 


Una copia de seguridad de la seccion critica HKEY_LOCAL_MACHINE 
\System. Solo la clave dei sistema tiene un archivo .ait. 


Un registro de transacciones de cambios en las claves y entradas de valores en la seccion 


Una copia de seguridad de una colmena. 


En la siguiente seccion, analizaremos donde encontrar interesantes colmenas y 
como analizarlas con la ayuda de las herramientas de Python. 
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Analisis dei registro para el IOC 

En esta seccion, analizaremos que colmenas de registro son importantes cuando se 
busca el IOC. Estas subsecciones incluyen los siguientes temas: 

• Dispositivos USB conectados: esta seccion mostrara que dispositivos se 
han conectado a un sistema y cuando. Esto ayuda a identificar las posibles 
formas de fuga de datos o exfiltracion a traves de un usuario dei sistema. 

• Historial de usuario: esta seccion mostrara donde encontrar 
historiales de archivos abiertos. 

• Programas de inicio: esta seccion mostrara que programas se ejecutaran al 
inicio dei sistema. Esto puede ser muy util cuando se trata de identificar los 
sistemas infectados. 

• Informacion dei sistema: esta seccion mostrara donde encontrar informacion 
importante dei sistema en cuestion (por ejemplo, nombres de usuario). 

• Shim Cache Parser: esta seccion mostrara como obtener un IOC importante con la 
ayuda de herramientas comunes de Python, como Shim Cache Parser de Mandiant, 
consulte https://www.mandiant.com/blog/leveraging-application-compatibility- 
cache-forensic-investigations/. 

Dispositivos USB conectados 

Una de las preguntas mas comunes que una persona de respuesta a incidentes debe 
responder es si un usuario ha extraido datos confidenciales de un sistema o si un 
compromiso dei sistema ha sido iniciado por un dispositivo USB deshonesto que un 
usuario conectado al sistema. Para responder a esta pregunta, el registro de 
Windows es un buen punto para comenzar. 

Cada vez que se conecta un nuevo dispositivo USB al sistema, dejara 
informacion en el registro. Esta informacion puede identificar de forma unica 
para cada dispositivo USB que se haya conectado al sistema. El registro 
almacena la identificacion dei proveedor, la identificacion dei producto, la 
revision y los numeros de serie de cada dispositivo USB conectado. Esta 
informacion se puede encontrar en la seccion de registro, 

HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\USBSTOR, Windows Forensic 
Analysis, Harlan Carvey, Dave Kleiman, Syngress Publishing, que tambien se muestra 
en la siguiente captura de pantalla: 


[ 40 ] 



Chapter 3 



DMfi Btwbeitn AnticM tavontcn 



i U» 

* N*me 

Typ 

Daten 



- (SUndwdi 

KG.SZ 

iWcrt mcht 

















s i. OOICCOICiJOFK20eStl23C»M> 






•* CcmpabbleKh 


US8ST0R\D«k l/SBSIORvRAW 


i Mcd>«Ctongt#totjfk«t»on 

SS Ccnf^Flijt 

MG.OWOPO 

040000000 «» 



*• CooUmerD 

«G.SZ 

12384102* 



*• OckcOcsc 

R£G M 

Cdrtk ,r» \d.jk drvd« t S;LjUv.«f*. 


Prop«f1t« 

*• CV<V«f 

RiG.SZ 

*J2V1 !<«• WcJ -OOCBfttiOJlS M3002 


4 Di!k&V«r.RD48iProd.D(S*&Rr..U) 

•* Fo*ivdtpJ»me 

RfG.SZ 

Kjngtton OataTrascter G3 US8 OevKe 


1 . D uk & V «n.S»nD»tk W rod U3 Crure MKio4.Rr._8 02 

** HirrtuikrrlD 

RfG.MUlT1.SZ 

USBSTO^.DidrttuvjttokiOjtjTr^riri.GJ.l 00 US8S... 


, .VpdButEnumP.oo» 

-Mf, 

RtG.SZ 

©disl mf.\genm»nuTj«tu»«»\(S*4ni»lfdU«fw*rkt) 


4 H»rd«»ft Profdet 

■** SOTalCC 

R£G SZ 

<fak 


i. PoIlCIM 





4 Kf.KB 

* 



Compct*rHS£Y.LOCAl..MACHJNr,5'rSTEhrConlroS«t001ErAjm>US8STC«'X'-rt&V«f>.*0^c«&P(Od.Dr*Trr^^(S3&Rr.Ji»J»lCCC«C33WfC»85a23C9&0 


Historial de usuarios 

En un sistema Windows, hay varias listas en el Registro que ayudan a 
identificar la actividad reciente dei usuario (por ejemplo, paginas web 
recientemente visitadas o archivos de Microsoft Word recientemente abiertos). 
La siguiente tabla muestra algunas de estas listas con las correspondientes 
subclaves dei Registro de Windows, para todas las listas y sus subclaves dei 
Registro de Windows, consulte http : //ro. ecu. edu. au/cgi/viewcontent. 
cgi?article=1071&context=adf: 


Lista de historial 

Clave de registro de Windows relacionada 

URL tipeadas en 

Microsoft Internet 

Explorer 

HKEY_USERS\S-l-5-21-[User Identifier] \Software\ 

Microsof t\ Internet Explorer\ TypedURLs 

Los archivos de 

Microsoft Office usados 
mas recientemente 

HKEY_USERS\S-l-5-21-[User Identifier] \Software \ 

Microsof t\ Off ice\ 12.0\ Off ice_App_N ame\ File MRU 

Las unidades de red 
asignadas mas 
recientemente 

HKEY_USERS\S-l-5-21-[User Identifier] \Software \ 

Microsof t\ Windows\ CurrentV ersion\ Explorer\ Map N etwork 

Drive MRU 

El comando mas 
reciente escrito en el 
cuadro de dialogo RUN 

HKEY_USERS\S-l-5-21-[User Identifier] \Software \ 

Microsof t\ Windows\ CurrentV ersion\ Explorer\ RunMRU 

Carpetas recientes 

HKE Y_U SERS\ S-l-5-21-[User Identifier] \Software\ 

Microsof t\ Windows\ CurrentV ersion\ Explorer\ RecentDocs\ 
Folder 
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Programas de inicio 

Durante algunas investigaciones, es importante saber que Software se ejecuto 
automaticamente al inicio y que Software se inicio manualmente por un usuario. Para 
ayudar a responder esta pregunta, el Registro de Windows hkey_local_machine 
\SOFTWARE\ Microsoft\Windows\CurrentVersion\Run puede volvera ayudar. La 
lista de programas de inicio se muestra en la siguiente figura y se enumera en Windows 
Register hive, que setoma de Windows Registry Quick Reference, Farmer, D. 

j: 



Informacion dei sistema 

En esta seccion, veremos algunas colmenas de registro que pueden ser importantes 
al analizar un sistema. En primer lugar, hay una gran cantidad de informacion 
sobre la cuenta de usuario que se almacena en el registro, de la siguiente manera: 

• Una lista de cuentas de usuario 

• Ultima hora de inicio de sesion de cada cuenta 

• Si la cuenta requiere una contrasena 

• Si una cuenta especifica esta deshabilitada o habilitada. 

• La tecnica de hash que se usa para calcular el hash de la contrasena 

Toda esta informacion se encuentra en la siguiente clave dei registro: 

HKEY_LOCAL_MACHINE\SAM\Domains\Account\Users 

Elay muchos mas datos interesantes en el Registro de Windows; sin embargo, un 
tipo de informacion puede ser muy util durante una investigacion forense: la 
hora de la ultima parada dei sistema. Esta informacion se almacena en el valor 
ShutdownTime en la siguiente seccion: 

HKEY LOCAL MACHINE\SYSTEM\ControlSet001\Control\Windows 
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Esta informacion es a menudo interesante en los sistemas de servidor, ya que 
podria ser una pista sobre cuando se aplicaron las ultimas actualizaciones o si 
hubo reinicios no planificados de un sistema, lo que tambien podria haber sido 
causado por un atacante. 

Shim Cache Parser 

El Registro de Windows contiene problemas de compatibilidad de aplicaciones y 
una gran cantidad de metadatos (como el tamano dei archivo, la ultima vez que se 
modifico el archivo y el ultimo tiempo de ejecucion segun la version dei sistema 
operativo) que podria ser importante para el tiempo de ejecucion de la aplicacion 

en Application Compatibility Shim Cache. 

La implementacion y la estructura de la cache Shim de 
compatibilidad de aplicaciones pueden variar segun el 
sistema operativo. Por lo tanto, verifique sus hallazgos a 
fondo. 

Los datos sobre la compatibilidad de la aplicacion y los problemas de tiempo de 
ejecucion pueden ser muy utiles durante una respuesta de incidente o cualquier otro 
tipo de investigacion forense para identificar los sistemas potencialmente infectados y 
crear una linea de tiempo de cuando tuvo lugar la infeccion potencial. Mandiant ha 
lanzado una herramienta para extraer este tipo de evidencia: Shim Cache Parser (para 
obtener mas informacion, consulte https:// github.com/mandiant/ShimCacheParser) 

Shim Cache Parser determinard automdticamente el formato de los datos almacenados en 
cache y emitira su contenido. Admite una serie de entradas, incluidas las inscripciones 
en el registro dei sistema, el binario sin procesar o el registro dei sistema actual. 

La herramienta se puede usar contra una seccion dei registro exportada o contra el 
sistema en ejecucion. Cuando lo use contra un sistema en ejecucion, solo necesita 
ejecutar el siguiente comando: 

C:\tools\mandiant> python ShimCacheParser.py -1 -o out.csv 



[ + ] 
[ + ] 
[ + ] 
[ + 3 
[ + 3 


Dumping Shim Cache data from the current 
Found 64bit Windows 7/2k8-R2 Shim Cache 
Found 64bit Windows 7/2k8-R2 Shim Cache 
Found 64bit Windows 7/2k8-R2 Shim Cache 
Writing output to out.csv... 


system 
data... 
data... 
data... 
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AI mirar la salida CSV generada, puede encontrar las aplicaciones instaladas y el 
primer tiempo de ejecucion de estos archivos, de la siguiente manera: 

Last Modified,Last Update,Path,File Size,Exec Flag 

05/04/11 05:19:28,N/A,C: \Windows\system32\SearchFilterHost .exe,N/A,True 

05/24/15 16:44:45,N/A,C: \Program Files (x86) \Avira\AntiVir 
Desktop\avwsc. exe,N/A,True 

11/21/10 03:24:15,N/A,C: \Windows\system32\wbem\wmiprvse .exe,N/A,True 

05/30/14 08:07:49,N/A,C: \Windows\TEMP\40F00A21-D2E7-47A3-AE16- 
0AFB8E6ClF87\dismhost.exe,N/A,True 

07/14/09 01:39:02,N/A,C: \Windows\system32\DeviceDisplayObjectProvider . 
exe,N/A,True 

07/26/13 02:24:56,N/A,C: \Windows\System32\shdocvw .dll,N/A,False 
05/24/15 16:46:22,N/A,C: \Program Files 

(x86) \Google\Update\l .3.27.5\ GoogleCrashHandler.exe,N/A,True 

05/07/15 21:42:59,N/A,C: \Windows\system32\GWX\GWX .exe,N/A,True 

03/26/15 20:57:08,N/A,C: \Program Files (x86) \Parallels\Parallels 
Tools\ prl_cc.exe, N/A,True 

10/07/14 16:29:54,N/A,C: \Program Files (x86) \KeePass Password Safe 
2\ KeePass.exe,N/A,True 

10/07/14 16:44:13,N/A,C: \ProgramData\Avira\Antivirus\TEMP\SELFUPDATE\ 
updrgui.exe,N/A,True 

04/17/15 21:03:48,N/A,C: \Program Files (x86) \Avira\AntiVir 
DesktopX avwebg7.exe,N/A,True 

Mirando los datos anteriores, uno puede ver que el usuario instalo o actualizo Avira 
AntiVir el 24-05-2015 y KeePass el 2014-07-10. Ademas, puede encontrar algunas 
sugerencias de que el sistema parece ser un sistema Virtual, ya que puede ver las 
sugerencias de Parallels, una plataforma de virtualizacion Mac OS X. 

Si se consideran las herramientas que se han deserito anteriormente y la 
informacion que contienen el registro de eventos de Windows y el registro de 
Windows, esta claro que en una investigacion forense, no todas las preguntas 
relativas a un sistema pueden responderse sin estas fuentes de informacion. 

Implementacion de verificaciones especificas de Linux 

En esta seccion, describiremos como implementar algunas comprobaciones 
de integridad para respaldar los signos de busqueda de la manipulacion 
dei sistema en Linux y sistemas similares (por ejemplo, BSD). 
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Estas comprobaciones incluyen lo siguiente: 

• Busqueda de anomalias en la gestion de usuarios locales. 

• Comprender y analizar metadatos de archivos para permisos y 
privilegios especiales. 

• Usar algoritmos de agrupacion en metadatos de archivo para obtener 
indicadores sobre donde buscar mas profundo 

Comprobacion de la integridad de las 
credenciales de usuario locales 

La informacion sobre los usuarios locales en Linux se almacena principalmente en dos 
archivos: /etc/passwd y /etc/shadow. Este ultimo es opcional y toda la informacion 
sobre los usuarios locales, incluida la contrasena hash, se almaceno originalmente en / 
etc/passwd. Pronto, se considero un problema de seguridad para almacenar la 
informacion de la contrasena en un archivo que es legible para cada usuario. Por lo tanto, 
los hashes de contrasena en /etc/passwd fueron reemplazados por una sola x que indica 
que ei hash de la contrasena correspondiente debe buscar se en / etc/shadow. 

EI efecto secundario de este proceso evolutivo es que los hash de contrasena en / / etc/ 
passwd todavia son compatibles y todas las configuraciones en /etc/passwd pueden 
anular las credenciales en / etc/ shadow. 

Ambos archivos son archivos de texto con una entrada por linea. Una entrada 
consta de varios campos separados por dos puntos. 

EI formato de /etc/passwd es el siguiente: 

• username: Este campo contiene el nombre de usuario legible por humanos. 

No es necesario que el nombre de usuario sea unico. Sin embargo, la 
mayorla de las herramientas de administracion de usuarios imponen 
nombres de usuario unicos. 

• password hash: Este campo contiene la contrasena en una forma 
codificada de acuerdo con la funcion Posix crypt ( ) Si este campo esta vario, 
el usuario correspondiente no necesita una contrasena para iniciar sesion en 
el sistema. Si este campo contiene un valor que no puede ser generado por el 
algoritmo hash, por ejemplo, un signo de exclamacion, entonces el usuario 
no puede iniciar sesion usando una contrasena. Sin embargo, esta condicion 
no hace que la cuenta sea inutil. Un usuario con una contrasena bloqueada 
todavia puede iniciar sesion utilizando otros mecanismos de autenticacion, 
por ejemplo, claves SSEi. 

Como se menciono anteriormente, el valor especial x significa que el hash 
de la contrasena debe encontrarse en el archivo shadow. 
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Comenzando con la biblioteca dei sistema glibc2, la funcion crypt() 
admite multiples algoritmos hash. En ese caso, el hash de la contrasena 
tiene el siguiente formato: 

$id$ salt$encrypted 

El ID designa el algoritmo hash que se ha utilizado para codificar la 
contrasena, por ejemplo, 1 para md5, 5 para sha256 y 6 para sha512. La salt 
es una cadena generada aleatoriamente para modificar el algoritmo hash. 

En consecuencia, incluso las contrasenas identicas producen diferentes 
sumas de hash. El subcampo "encriptado" contiene el hash real de la 
contrasena (modificado por la influentia de la salt). 

• numerical user ID: Este campo denota la Identification dei usuario. 

Internamente, el kernel de Linux usa solo este ID numerico. El ID 
especial 0 se asigna al usuario raiz administrativo. Por defecto, el ID de 
usuario 0 recibe privilegios ilimitados en el sistema. 

• numerical group ID: Este campo se refiere al grupo primario dei usuario. 

• comment field: Este campo puede contener informacion arbitraria sobre el 
usuario y se utiliza principalmente para contener el nombre completo dei 
usuario. A veces, tambien contiene una lista separada por comas dei 
nombre de usuario completo, numero de telefono, etc. 

• user home directory: El directorio principal dei usuario es un directorio en 
el sistema de archivos dei sistema. Despues de iniciar sesion, se inician 
nuevos procesos con este directorio como directorio de trabajo. 

• default command shell: Este campo opcional denota el shell 
predeterminado que se debe iniciar despues de un inicio de sesion exitoso. 

El formato de /etc/ shadowes el siguiente: 

• El campo username fvincula la entrada a la entrada passwd con el mismo nombre de usuario. 

• El campo password hash contiene la contrasena codificada en el mismo formato 
que se describe para el archivo passwd. 

• Los proximos cinco campos contienen informacion sobre el envejecimiento 
de la contrasena, como la fecha dei ultimo cambio de contrasena, la edad 
minima de la contrasena, la edad maxima de la contrasena, el periodo de 
advertentia de la contrasena y el periodo de inactividad de la contrasena. 

• Si el campo account expiration date no esta vatio, se interpretara 
como la fecha de vencimiento de la cuenta. Esta fecha se expresa en 
dias desde el 1 de enero de 1970. 
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Con esta descripcion de formato, una pequena rutina de Python es suficiente para 
analizar el archivo en una lista de entradas, cada una con una lista de campos como 
se muestra a continuacion: 

def read_passwd(filename): 

"""Reads entries from shadow or passwd files and 
returns the content as list of entries. 

Every entry is a list of fields.""" 

content = [] 

with open(filename, 'r') as f: 

for line in f: 

entry = line.strip() .split(' : ' ) 
content.append(entry) 

return content 

AI usar esta rutina, pueden detectarse manipulaciones tipicas en estos archivos. 

La primera tecnica de manipulacion que queremos describir es la creacion de 
multiples usuarios que comparten el mismo ID numerico. Esta tecnica puedeser 
utilizada por los atacantes para plantar una puerta trasera en el sistema. AI crear un 
usuario adicional para una ID existente, un atacante puede crear un alias con una 
contrasena independiente. El propietario legitimo de la cuenta no sabria que hay una 
combinacion adicional de nombre de usuario/contrasena para iniciar sesion en la cuenta. 

Una pequena rutina de Python puede detectar este tipo de manipulacion, de la siguiente manera: 

def detect_aliases(passwd): 

"""Prints users who share a user id on the console 

Arguments: 

passwd — contents of /etc/passwd as read by read_passwd""" 

id2user = {} 

for entry in passwd: 

username = entry[0] 
uid = entry[2] 
if uid in id2user: 

print 'User "%s" is an alias for "%s" with uid=%s' % 

(username, id2user[uid], uid) 
else: 

id2user[uid] = username 
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Durante el funcionamiento normal, la informacion en / etc/passwd y /etc/shadow se sincroniza, 
es decir, cada usuario debe aparecer en ambos archivos. Si hay usuarios que aparecen en solo uno 
de estos archivos, es un indicador de que se ha omitido la administracion de usuarios dei sistema 
operativo. Una manipulacion como esta se puede detectar con un script similar: 

def detect_missing_users(passwd, shadow): 

"""Prints users of /etc/passwd missing in /etc/shadow 
and vice versa. 

Arguments: 

passwd -- contents of /etc/passwd as read by read_passwd 
shadow -- contents of /etc/shadow as read by 
read_pas swd""" 

passwd_users = set([e[0] for e in passwd]) 
shadow_users = set([e[0] for e in shadow]) 

missing_in_passwd = shadow_users - passwd_users 
if len(missing_in_passwd) > 0: 

print 'Users missing in passwd: %s' % ', '.join(missing_in_ 

passwd) 

missing_in_shadow = passwd_users - shadow_users 
if len(missing_in_shadow) > 0: 

print 'Users missing in shadow: %s' % ', '.join(missing_in_ 

shadow) 

AI igual que con la primera funcion, esta funcion no debe producir ningun resultado en 
un sistema normal. Si hay una salida similar a los usuarios que faltan en shadow: 
backdoor, entonces hay una cuenta de usuario "puerta trasera" en el sistema sin un 
registro en el archivo shadow. 

Los usuarios sin contrasena no deberian existir en un sistema normal. Ademas, todos los 
hashes de contrasena deben residir en el archivo shadow y todas las entradas en el 
archivo de passwd deben referirse a la entrada de shadow correspondiente. El siguiente 
script detecta desviaciones de esta regia: 

def detect_unshadowed(passwd, shadow): 

"""Prints users who are not using shadowing or have no password 

set 


Arguments: 

passwd -- contents of /etc/passwd as read by read_passwd 
shadow -- contents of /etc/shadow as read by read_passwd""" 


nopass = [e[0] for e in passwd if e[1]==' ' ] 
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nopass.extend([e[0] for e in shadow if e[1]=='']) 
if len (nopass) > 0: 

print 'Users without password: %s' % join (nopass) 

unshadowed = [e[0] for e in passwd if e[1] != 'x' and e[l] != ''] 

if len (unshadowed) > 0: 

print 'Users not using password-shadowing: %s' % \ 
join(unshadowed) 

Nuestro ultimo ejemplo de omitir el sistema operativo en la creacion y 
manipulacion de cuentas de usuario es la deteccion de algoritmos hash no estandar 
y la reutilizacion de salts para multiples cuentas de usuario. Si bien un sistema 
Linux permite especificar el algoritmo de hash para cada entrada en el archivo 
shadow, normalmente todas las contrasenas de usuario son hash usando el mismo 
algoritmo. Un algoritmo de desviacion es una senal para que una entrada se escriba 
en el archivo shadow sin utilizar las herramientas dei sistema operativo, es decir, la 
manipulacion dei sistema. Si se reutiliza una salts a traves de multiples hashes de 
contrasenas, entonces el salts se codifica en una herramienta de manipulacion o las 
rutinas criptograficas dei sistema se han visto comprometidas, por ejemplo, 
manipulando la fuente de entropia de la generacion de salts. 

El siguiente script de Python es capaz de detectar este tipo de manipulacion: 

import re 

def detect_deviating_hashing(shadow): 

"""Prints users with non-standard hash methods for passwords 

Arguments: 

shadow — contents of /etc/shadow as read by read_passwd""" 

noalgo = set() 
salt2user = {} 
algorithms = set() 
for entry in shadow: 
pwhash = entry[1] 
if len(pwhash) < 3: 
continue 

m = re.search(r' A \$([ A $]{1,2})\$([ A $]+)\$', pwhash) 
if not m: 

noalgo.add(entry[0] ) 
continue 

algo = m.group(l) 
salt = m.group(2) 

if salt in salt2user: 
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print 'Users "%s" and "%s" share same password salt "%s"' 

% \ 

(salt2user[salt], entry[0], salt) 

else: 

salt2user[salt] = entry[0] 
algorithms.add(algo) 
if len (algorithms) > 1: 

print 'Multiple hashing algorithms found: %s' % ', 

' .join (algorithms) 

if len (noalgo) > 0: 

print 'Users without hash algorithm spec. found: %s' % \ 

' , '.join(noalgo) 

Expresiones regulares 

EI ultimo ejemplo usa el re modulo para la coincidencia de expresion 
regular para extraer la especificacion dei algoritmo y la salt dei hash de la 
contrasena. Las expresiones regulares proporcionan una manera rapida y 
C ) poderosa de buscar, emparejar, dividir y reemplazar texto. Por lo tanto, le 
'S.' v recomendamos familiarizarse con las expresiones regulares. La 
documentacion dei modulo re esta disponible en linea en https:// 
docs.python.org/2/library/re.html. El libro Mastering Python Regular 
Expressions, Felix Lopez y Victor Romero, Packt Publishing ofrece mas 
informacion y ejemplos sobre como usar expresiones regulares. 

Todos los metodos de deteccion en esta seccion son ejemplos de metodos de 
deteccion de anomalias. Segun el entorno dei sistema, se pueden usar e 
implementar detecciones de anomalias mas especlficas siguiendo el esquema de 
los ejemplos. Por ejemplo, en un sistema de servidor, el numero de usuarios que 
tienen un conjunto de contrasena debe ser pequeno. Por lo tanto, contar a todos los 
usuarios con contrasenas puede ser un paso razonable en el analisis de dichos 
sistemas. 

Analisis de la meta informacion de archivo 

En esta seccion, discutiremos la metainformacion de archivo y proporcionaremos 
ejemplos de como se puede usar en el analisis forense. 
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Comprension dei inodo 

Los sistemas Linux almacenan metadatos de archivo en estructuras llamadas 
inodos (nodos indice). En un sistema de archivos de Linux, cada objeto esta 
representado por un inodo. Los datos almacenados por inodo dependen dei tipo de 
sistema de archivos real. Los contenidos tipicos de un inodo son los siguientes: 

• EI numero de indice es el identificador de un inodo. EI numero de indice es 
unico por sistema de archivos. Si dos archivos comparten el mismo numero 
de indice, estos archivos estan vinculados. En consecuencia, los archivos 
vinculados solo difieren en su nombre de archivo y siempre tienen los 
mismos contenidos, asi como la misma metainformacion. 

• El propietario dei archivo esta definido por la ID numerica dei usuario 
(UID). Solo puede haber un propietario por archivo. Las ID de usuario deben 
corresponder a las entradas en /etc/passwd. Sin embargo, no se garandza 
que solo haya archivos con entradas existentes en /etc/passwd. Los archivos 
se pueden transferir a los usuarios que no tienen privilegios administrativos. 
Ademas, es posible que el propietario dei archivo se haya eliminado dei 
sistema, lo que hizo que el archivo quedara huerfano. Para los archivos en 
medios transportables, por ejemplo, unidades USB, no existe un mecanismo 
para asignar la ID de usuario de un sistema a otro. En consecuencia, el 
propietario dei archivo parece cambiar cuando se conecta un disco USB a un 
nuevo sistema con diferentes /etc/passwd. Ademas, esto tambien puede 
generar archivos huerfanos si no existe un UID en el sistema donde esta 
conectado el disco USB. 

• El grupo de archivos esta definido por la ID numerica dei grupo 
correspondiente (GID). Un archivo siempre se asigna a un grupo 
exactamente. Todos los grupos de un sistema deben definirse en /etc/ 
groups. Sin embargo, pueden existir archivos con ID de grupo que no 
figuran en /etc/ groups. Esto indica que el grupo correspondiente se ha 
eliminado dei sistema, que el medio se ha transferido desde otro sistema 
donde existe ese grupo o que un usuario con privilegios administrativos 
reasigno el archivo a un grupo inexistente. 

• El modo de archivo (tambien conocido como "bits de proteccion") define 
una forma simple de derechos de acceso al archivo correspondiente. Es 
una mascara de bits que define los derechos de acceso para el propietario 
dei archivo, para los usuarios que pertenecen al grupo al que esta asignado 
el archivo y para todos los demas usuarios. Para cada uno de estos casos, 
se definen los siguientes bits: 

° read (r): Si este bit se establece en un archivo normal, el usuario 
afectado puede leer el contenido dei archivo. Si el bit se establece en 
un directorio, el usuario afectado puede mostrar los nombres dei 
contenido dei directorio. El acceso de lectura no incluye la 
metainformacion, que es la informacion de inodo de las entradas dei 
directorio. En consecuencia, el permiso de lectura para un directorio 
no es suficiente para leer archivos en ese directorio, ya que esto 
requeriria acceso a los datos de inodo dei archivo. 
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° write (w): Si este bit se establece en un archivo normal, el usuario afectado 
puede modificar el contenido dei archivo de forma arbitraria, incluida la 
manipulacion y eliminacion dei contenido. Si este bit se establece en una entrada 
de directorio, entonces el usuario afectado puede crear, eliminar y cambiar el 
nombre de las entradas en ese directorio. Los archivos existentes en el directorio 
tienen sus propios bits de proteccion que definen sus derechos de acceso. 

° execute (x): Para los archivos normales, esto permite que el usuario afectado 
inicie el archivo como un programa. Si el archivo es un binario compilado, por 
ejemplo, en formato ELF, entonces los privilegios de ejecucion son suficientes 
para ejecutar el programa. Si el archivo es un script que debe interpretarse, 
entonces tambien se requiere permiso de lectura (r) para ejecutar el script. La 
razon es que el kernel de Linux determina como cargar el programa. Si detecta 
que el archivo contiene una secuencia de comandos, carga el interprete de 
secuencia de comandos con los privilegios dei usuario actual. Para los directorios, 
este indicador otorga permiso para leer la metainformacion dei contenido dei 
directorio, excepto los nombres de las entradas. Por lo tanto, esto permite que el 
usuario afectado cambie el directorio de trabajo a este directorio. 

° sticky (t): Este bit solo existe una vez por inodo. Cuando se establece en 
directorios, limita el derecho de eliminar y cambiar el nombre de las entradas al 
usuario que posee la entrada. En los archivos normales, este indicador se ignora o 
tiene un efecto especifico dei sistema de archivos. Cuando se establece en 
ejecutables, este indicador se usa para evitar que el proceso resultante se 
intercambie desde la RAM. Sin embargo, este proposito dei bit sticky esta en 
desuso y los sistemas Linux no obedecen el bit sticky en los ejecutables. 

° set id on execution (s): Este bit existe para el usuario y para el grupo. Cuando 
se establece para el usuario (bit SUID) en un archivo ejecutable, el archivo 
correspondiente se ejecuta siempre con su propietario como usuario efectivo. Por 
lo tanto, el programa se ejecuta con los privilegios dei usuario que posee el 
ejecutable que es independiente dei usuario que realmente esta iniciando el 
programa. Si el archivo es propiedad dei usuario raiz (UID 0), entonces el archivo 
ejecutable siempre se ejecuta con privilegios ilimitados. Cuando el bit se establece 
para el grupo (SGID bit), el archivo ejecutable siempre se inicia con el grupo dei 
archivo como grupo efectivo. 


• El tarnano dei archivo en bytes. 

• La cantidad de bloques asignados para ese archivo. 

• Una marca de tiempo que denota el ultimo cambio dei contenido dei archivo (mtime). 
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• Una marca de tiempo que denota el ultimo acceso de lectura al contenido dei 
archivo (atime). El acceso a la marca de tiempo se puede deshabilitar mediante la 
opcion de noatime para limitar el acceso de escritura a los medios (por ejemplo, 
para extender la vida util de las tarjetas SD). Ademas, el acceso de solo lectura 
(mount option ro) en el sistema de archivos evita el seguimiento de atime. Por lo 
tanto, antes dei analisis de la informacion de atime, deberla verificarse si el 
seguimiento de atime estaba habilitado para ese sistema de archivos. Las opciones 
de montaje inicial correspondientes se pueden encontrar en /etc/fstab. 

• Una marca de tiempo que denota el ultimo cambio de los datos de inodo (ctime). 

Las extensiones notables a estas entradas estandar son listas de control de acceso de 
POSIX (POSIX ACLs). Estas listas de control de acceso son compatibles con los 
principales sistemas de archivos de Linux y permiten especificar entradas de acceso 
adicionales ademas de las tres clases (usuario, grupo y otros). Estas entradas permiten 
definir los derechos de acceso adicionales (los bits r, w y x listados anteriormente) para 
usuarios y grupos adicionales. La evaluacion de POSIX ACL se discutira en detalle en 
una seccion separada. 

Otra extension consiste en la especificacion de indicadores de capacidad para un 
ejecutable. Esto se usa para una especificacion de privilegios mas granular que el uso dei 
bit SUID. En lugar de proporcionar un ejecutable propiedad dei usuario root con el bit 
SUID y permitirle privilegios ilimitados, se puede especificar un conjunto de privilegios 
necesarios. Las capacidades tambien se trataran en detalle en una seccion separada. 

Lectura de metadatos de archivos basicos con Python 

Python proporciona funcionalidad incorporada para leer la informacion dei estado dei 
archivo con el modulo os. La funcion estandar para recuperar metadatos de un archivo 
especificado por su nombre es os . lstat (). En contraste con el os . stat () mas 
comunmente utilizado, esta funcion no evalua los objetivos de los enlaces simbolicos, 
sino que recupera la informacion sobre el enlace en si. Por lo tanto, no es propenso a 
correr en bucles infinitos que son causados por enlaces simbolicos circulares. Ademas, 
no causa ningun error en los enlaces que carecen dei destino dei enlace. 

El objeto resultante depende de la plataforma; Sin embargo, la siguiente informacionesta 
siempre disponible: st_mode (bits de proteccion), st_ino (numero de inodo), st_dev 
(identificador dei dispositivo que contiene el objeto dei sistema de archivos), st_nlink 
(numero de enlaces duros), st_uid (ID de usuario dei propietario), st_gid (ID de grupo 
propietario), st_size (tamano de archivo en bytes), stjntime (ultima modificacion), 
st_atime (ultimo acceso de lectura), st_ctime (ultimo cambio de inodo). Esta 
informacion corresponde a los datos de inodo que se describen en la seccion anterior. 
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Una descripcion detallada de os.stat () y os.lstat () 
esta disponible en https://docs.python.Org/2/ 
library/os.html#os.stat. Esto tambien incluye los 
ejemplos de atributos dependientes de la 
plataforma. 


Las marcas de tiempo st_mtime, st_atime y st_ctime se especifican en el 
formato de marca de tiempo Unix, es decir, el numero de segundos desde el 1 de 
enero de 1970. Con el modulo datetime, este formato de tiempo se puede 
convertir en una forma legible para el ser humano utilizando el siguiente script: 

from datetime import datetime as dt 
from os import lstat 


stat_info = lstat('/etc/passwd') 


atime = dt.utcfromtimestamp(stat_info.st_atime) 
mtime = dt.utcfromtimestamp(stat_info.st_mtime) 
ctime = dt.utcfromtimestamp(stat_info.st_ctime) 


print 

' File mode bits: 

% s ' 

% 

oct(stat info.st mode) 

print 

'Inode number: 

%d' 

o. 

stat info.st ino 


print 

'# of hard links: 

%d' 

o. 

o 

stat info.st nlink 


print 

'Owner UID: 

%d' 

o, 

o 

stat info.st uid 


print 

'Group GID: 

%d' 

o_ 

o 

stat info.st gid 


print 

'File size (bytes) 

%d' 

o. 

stat info.st size 


print 

'Last read (atime) 

% s ' 

o_ 

o 

atime.isoformat(' 

') 

print 

'Last write (mtime) 

9. Q ' 
o o 

o. 

mtime.isoformat(' 

') 

print 

'Inode change (ctime) 

9-o » 
o o 

o, 

o 

ctime.isoformat(' 

') 


Esta lista de codigos produce los valores de retorno comunes de la llamada 
lstat. Un resultado tipico es similar al siguiente: 


File mode bits: 

Inode number: 

# of hard links: 
Owner UID: 

Group GID: 

File size (bytes) 
Last read (atime) 
Last write (mtime) 
Inode change (ctime) 


0100644 

1054080 

1 

0 

0 

2272 

2015-05-15 09:25:15.991190 
2014-09-20 10:40:46.389162 
2014-09-20 10:40:46.393162 
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Este resultado muestra que en el sistema de laboratorio, /etc/passwd es un archivo 
normal con permiso de lectura para todos los usuarios. Esta informacion se deriva dei 
miembro st_mode dei resultado. AI usar la funcion oct () de Python, se convierte en su 
representacion octal, es decir, un digito decimal de la salida representa exactamente tres bits de 
los bits de proteccion. El cero inicial en la salida es un indicador comun para la 
representacion octal. 

Los tres digitos mas bajos (644 en el ejemplo de salida) siempre denotan los 
derechos de acceso para el propietario dei archivo (6 en el ejemplo), para los 
usuarios que pertenecen al grupo dei archivo (izquierda 4 en el ejemplo) y todos 
los demas usuarios (ultimo digito). 

^Como interpretar los bits dei modo de archivo? 

En su forma octal, los valores de bits de los tres digitos menos 
significativos representan los derechos de acceso para el propietario, 
grupo y otros usuarios (ultimo digito). Para cada digito, el acceso de 
lectura (r) tiene un valor de bit 4, el acceso de escritura (w) tiene un valor 
de bit 2 y la ejecucion (x) tiene un bit de valor 1. 

Por lo tanto, en nuestro ejemplo, el digito 6 denota acceso de lectura y escritura 
(4 + 2) para el propietario dei archivo. Los miembros dei grupo 0 y todos los 
demas usuarios solo tienen acceso de lectura (4). 

El siguiente digito de la derecha denota el bit sticky (valor 1), el bit SGID (valor 2) 
y el bit SUID (valor 4). 

El modulo stat define las constantes para todos los bits de 
st_mode. Su documentacion esta disponible en https:// 
docs.python.org/2/library/ stat.html. 




Estas constantes se pueden usar como una mascara de bits para recuperar 
informacion de st_mode. El ejemplo anterior podria ampliarse para detectar 
SGID, SUID y modo de conexion, de la siguiente manera: 

import stat 


if 


stat.S_ISUID & stat_info 
print 'SUID mode set!' 


st mode: 


if stat.S_ISGID 
print 'SGID 


& stat_info 
mode set!' 


st mode: 


if stat.S_ISVTX & stat_info.st_mode: 
print 'Sticky mode set!' 
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Para probar el codigo, puede usar el ejemplo para evaluar el modo de /etc/ 
passwd, /tmp, y /usr/bin/sudo en un sistema Linux estandar. Normalmente, / 
tmp tiene el conjunto de banderas sticky, /usr/bin/sudo tiene SUID configurado 
y /etc/password no tiene ninguno de los bits especiales configurados. 

Los bits restantes indican el tipo de archivo. Los siguientes tipos de archivos pueden 
aparecer en un sistema de archivos Linux estandar: 


Tipo de archivo 

Comprobar la 
funcion en stat 

Descripcion 

regular 

S_ISREG() 

Esto se usa para almacenar datos arbitrarios. 

directorio 

S_ISDIR() 

Esto se usa para almacenar listas de otros archivos. 

enlace suave 

S_ISLNK() 

Esto hace referenda a un archivo de destino a traves i 

dispositivo de 
caracteres 

S_ISCHR() 

Esta es la interfaz en el sistema de archivos 
para acceder al hardware orientado al 
caracter, por ejemplo, terminales 

dispositivo de 
bloqueo 

S_ISBLK() 

Esta es la interfaz en el sistema de archivos 
para acceder al hardware orientado a bloques, 
por ejemplo, particiones de disco 

fifo 

S_ISFIFO() 

Esta es la representacion de un named, 
interfaz de interproceso unidireccional en 
el sistema de archivos 

Socket 

SJSSOCKQ 

Esta es la representacion de un named, interfaz de 
interproceso unidireccional en el sistema de archivo;; 


Los enlaces duros no estan representados por un tipo de archivo especial, sino que 
son simplemente varias entradas de directorio en el mismo sistema de archivos que 
comparten el mismo inodo. 

A diferencia de las pruebas para SGID, SUID y bit sticky, las comprobaciones de tipo 
de archivo se implementan como funciones dei modulo stat. Estas funciones 
requieren los bits dei modo de archivo como el parametro, por ejemplo: 

from os import readlink,lstat 
import stat 

path = '/etc/rc5.d/S99rc.local' 

stat_info = lstat(path) 

if stat.S_ISREG(stat_info.st_mode): 
print 'File type: regular file' 

if stat.S ISDIR(stat info.st mode): 
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print 'File type: directory' 

if stat.S_ISLNK(stat_info.st_mode): 

print 'File type: symbolic link pointing to ', 
print readlink(path) 

En este ejemplo, la funcion os. readlink () se utiliza para extraer el nombre dei 
archivo de destino si se encuentra un enlace simbolico. Los enlaces simbolicos 
pueden referirse a una ruta absoluta o una ruta relativa que comienza desde la 
ubicacion dei enlace simbolico en el sistema de archivos. Los enlaces simbolicos 
absolutos tienen un objetivo que comienza con el caracter /, es decir, el objetivo debe 
buscarse comenzando por el directorio raiz dei sistema. 

Si monta su copia de la evidencia en su entorno de laboratorio para su 
i f analisis, los enlaces simbolicos absolutos o bien se rompen o se 

apuntan a un archivo en su estacion de trabajo de laboratorio! Los 
enlaces simbolicos relativos permanecen intactos siempre que su 
destino se encuentre en la misma particion que el enlace. 

Un posible resultado dei codigo de ejemplo anterior podria ser - Tipo de archivo: 
enlace simbolico que apunta a ../init.d/rc.local que es un ejemplo de un enlace 
relativo. 

Evaluacion de POSIX ACL con Python 

Los bits de modo de archivo, que se definen en el inodo dei archivo, solo permiten 
tres destinatarios para los permisos: el propietario dei archivo, los usuarios que 
pertenecen al grupo dei archivo y todos los demas. 

Si se requiere un conjunto de permisos mas granular, la solucion tradicional sera 
crear un grupo que este formado por todos los usuarios que deberian tener acceso 
y transferir el archivo a ese grupo. Sin embargo, la creacion de tales grupos tiene 
grandes desventajas. Primero, la lista de grupos puede llegar a ser 
innecesariamente grande. Segundo, la creacion de tales grupos requiere privilegios 
administrativos y, por lo tanto, rompe el concepto Linux/Unix de control de 
acceso discrecional. 

El control de acceso discrecional es el concepto de permitir que el 
propietario de la informacion, es decir, el propietario dei archivo, 
decida a quien se debe permitir el acceso. En el control de acceso 
discrecional, la propiedad es el unico requisito para que se le permita 
conceder o revocar el acceso a un recurso. 

Por ultimo, los propietarios de archivos solo pueden abrir archivos y directorios 
para todos en el sistema si no hay un grupo que coincida con la lista de usuarios a 
los que autorizar. Esto rompe el concepto de privilegio minimo, es decir, no otorga 
mas permisos en un sistema de los requeridos para su operacion. 
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Para mantener el control de acceso discrecional, asi como el concepto de privilegio minimo, 
se especifico una extension opcional al modo de acceso a archivos, es decir, POSIX ACL. 
Ademas de permitir permisos de lectura, escritura y ejecucion para el propietario dei 
archivo, el grupo y otros, las POSIX ACLs permiten especificar lo siguiente: 

• Permisos especificos de lectura, escritura y ejecucion para usuarios arbitrarios 

• Permisos especificos de lectura, escritura y ejecucion para grupos arbitrarios. 

• No se concede ningun privilegio que no este establecido en la mascara de 
acceso. Solo los permisos dei propietario dei archivo y otros no se ven 
afectados por la mascara de acceso. 

En la linea de comando, las herramientas getf aci y setf aci se pueden usar para leer y 
modificar las entradas POSIX ACL, respectivamente: 

user@lab:~$ touch /tmp/mytest 
user@lab:~$ getfaci /tmp/mytest 

getfacl: Removing leading '/' from absolute path names 

# file: tmp/mytest 

# owner: user 

# group: user 
user::rw- 
group::r— 
other::r— 

Este ejemplo tambien muestra que el conjunto de permisos estandar se refleja en la 
POSIX ACL. En consecuencia, si las POSIX ACL son compatibles en un sistema de 
archivos, entonces el conjunto de permisos completo esta contenido en POSIX ACL. 

Revocamos el acceso de lectura a otros usuarios y agregamos acceso de lectura / 
escritura a games de usuario, como se muestra aqui: 

user@lab:~$ setfaci -m o::0 -m u:games:rw /tmp/mytest 
user@lab:~$ getfacl /tmp/mytest 

getfacl: Removing leading '/' from absolute path names 

# file: tmp/mytest 

# owner: user 

# group: user 
user::rw- 
user:games:rw- 
group::r— 
mask::rw- 
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other::- 

user@lab:~$ ls -1 /tmp/mytest 

-rw-rw-+ 1 user user 0 May 16 16:59 /tmp/mytest 

EI parametro -m o: : 0 elimina todos los privilegios de otros usuarios mientras -m 
u: games : rw otorga acceso de lectura/escritura a games de usuario. La llamada 
subsiguiente a getfacls muestra la entrada adicional para user:games y la 
entrada modificada para other. Ademas, una entrada mask se crea 
automaticamente para limitar ei acceso de todos los grupos y usuarios listados 
(excepto ei propietario dei archivo) para leer / escribir. 

Ei resultado dei comando 1 s muestra un signo mas + para indicar la existencia 
de las entradas ACL adicionales. Como tambien io indica ei resultado de ls, las 
herramientas que solo evaluan los bits de modo de archivo no son conscientes 
de los permisos adicionales, por ejemplo, los privilegios de acceso adicionales 
para los juegos de usuario no aparecen en la salida estandar de ls u otro 
aplicaciones de administracion de archivos. 

Las herramientas forenses que no buscan e interpretan las 
At \ entradas de POSIX ACL pueden perder los derechos de 
'vL-' - acceso adicionales que introducen las entradas de ACL. En 
consecuencia, ei investigador puede obtener una falsa 
impresion de privilegios estrictos y efectivos. 

Afortunadamente, la biblioteca Python pylibacl se puede usar para leer y evaluar 
POSIX ACL y, por lo tanto, evitar esa trampa. La biblioteca introduce el modulo 
posixle, es decir, una referencia al borrador inicial que menciona primero las ACL 
POSIX. La documentacion detallada sobre esta biblioteca esta disponible en http:/ / 
pylibacl.kl024.org/ . 

El siguiente script es un ejemplo de como buscar archivos con las entradas 
de ACL adicionales: 

#!/usr/bin/env python 
import os 

from os.path import join 

import posixle 

import re 

import stat 

import sys 

def acls_from_file(filename, include_standard = False): 

"""Returns the extended ACL entries from the given 
file as list of the text representation. 

Arguments: 

filename -- the file name to get the ACLs from 
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include_standard -- if True, ACL entries representing 

Standard Linux permissions will be 
included""" 

resuit = [] 
try: 

aci = posixle.ACL(file=filename) 

except: 

print 'Error getting ACLs from %s' % filename 
return [] 

text = aci.to_any_text(options=posixle.TEXT_ABBREVIATE | posixle. 
TEXT_NUMERIC_IDS) 

for entry in text.split("\n"): 

if not include_standard and \ 

re.search(r' A [ugo] :: ' , entry) != None: 
continue 

resuit.append(entry) 
return resuit 


def get_acl_list(basepath, include_standard = False): 

"""Collects all POSIX ACL entries of a directory tree. 

Arguments: 

basepath -- directory to start from 

include_standard -- if True, ACL entries representing 

Standard Linux permissions will be 
included""" 

resuit = {} 

for root, dirs, files in os.walk(basepath): 

for f in dirs + files: 

fullname = join(root, f) 

# skip symbolic links (target ACL applies) 

if stat.S_ISLNK(os.lstat(fullname).st_mode): 

continue 

acis = acls_from_file(fullname, include_standard) 
if len(acls) > 0: 
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resuit[fullname] = acis 

return resuit 

if name_ == ' main ': 

if len (sys.argv) < 2: 

print 'Usage %s root_directory' % sys.argv[0] 
sys.exit(1) 

acl_list = get_acl_list(sys.argv[1], False) 

for filename, acis in acl_list.iteritems(): 

print "%s: %s" % (filename, ','.join(acis)) 

La clase posixle. acl representa todos los permisos establecidos en un objeto 
especifico en el sistema de archivos. Cuando se invoca a su constructor con un nombre 
de archivo como parametro file, representa la ACL de ese archivo. En la funcion 
acls_from_f ile (), se utiliza una expresion regular para detectar y, opcionalmente, 
filtrar los permisos estandar de la representacion de texto dei conjunto de ACL. 

La funcion os . walk () se utiliza para iterar sobre un subarbol dei sistema de 
archivos. Si anda sobre os . walk () como en el ejemplo, obtienes un triple en cada 
iteracion que denota lo siguiente: 

• El directorio visitado actualmente 

• Una lista con todos sus subdirectorios (en relacion con el directorio visitado actualmente) 

• Una lista con todas sus entradas no direccionales, por ejemplo, archivos 
y enlaces blandos (en relacion con el directorio visitado actualmente) 

La comprobacion en la ultima linea resaltada dei script es un ejemplo de la informacion 
dei tipo de archivo de evaluacion como se describe en la seccion anterior. Se usa para 
detectar y omitir enlaces simbolicos. Los enlaces simbolicos siempre usan ACL de 
destino y, en consecuencia, las ACL POSIX en enlaces simbolicos no son compatibles. 

Cuando se invoca con /tmp como parametro en nuestra maquina de 
laboratorio, genera la siguiente salida: 

/tmp/mytest: u:5:rw-,m::rw- 

Este resultado muestra que el script detecto las sobras de nuestras primeras pruebas 
con ACL POSIX: un permiso de lectura/escritura adicional para el usuario (u) ID 5 
(es decir, games de usuario en la maquina de laboratorio) y una entrada de mascara 
(m) que limita los privilegios efectivos para leer/escribir. La secuencia de comandos 
genera los ID de usuario numericos porque pylibacl usaria de otra manera su /etc/ 
passwd de la estacion de trabajo para buscar los nombres de usuario. 
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Si ejecuta este script en una copia dei sistema de archivos que contiene su 
evidencia, listara cada objeto dei sistema de archivos con permisos mas alia 
dei conjunto de permisos estandar de Linux. 

La mayoria de los sistemas Linux estandar y sus aplicaciones no 
usan POSIX ACL. Por lo tanto, si encuentra entradas adicionales de 
ACL POSIX durante su investigacion, es una buena idea verificar 
minuciosamente si estas ACL POSIX fueron el resultado de una 
operacion dei sistema legitima y benigna. 

Lectura de capacidades de archivos con Python 

Tradicionalmente, en Linux, existen dos tipos de privilegios administrativos: root 
y no root. Si se concede un proceso a los privilegios de root, es decir, se ejecuta 
con UID 0, entonces puede pasar por alto todas las restricciones de seguridad dei 
nucleo de Linux. Por otro lado, si un proceso no se ejecuta con estos privilegios 
de ralz, se aplican todas las restricciones de seguridad dei nucleo. 

Para reemplazar este mecanismo de todo o nada con un sistema mas preciso, se 
presentaron las capacidades de Linux. La pagina de manual correspondiente lo 
describe como el siguiente: 

Con elfin de realizar comprobationes de permisos, las implementaciones 
tradicionales de UNIX distinguen dos categorias de procesos: procesos 
privilegiados (cuyo ID de usuario efectivo es 0, denominado superusuario o 
root) y procesos sin privilegios (cuyo UID efectivo es distinto de cero). 

Los procesos privilegiados omiten todas las comprobationes de permisos dei 
kernel, mientras que los procesos sin privilegios estdn sujetos a la verificacion de 
permisos completa enfuncion de las credenciales dei proceso (generalmente: UID 
efectiva, GID efectiva y lista de grupos suplementarios). 

Comenzando con el kernel 2.2, Linux divide los privilegios tradicionalmente 
asociados con superusuario en unidades distintas, conocidas como capacidades, 
quepueden habilitarse e inhabilitarse independientemente. Las capacidades son 
un atributo por hilo. 

iQue capacidades existen? 

La lista de capacidades de Linux se puede encontrar en el 
—n archivo /usr/include/linux/capability.h en un sistema Linux 

V. / estandar. En la pagina de manual de capacidades se proporciona 
\3 una forma mas legible para el ser humano. Se puede ver a traves 
de man 7 capabilities. Las capacidades de Linux incluyen 
todos los permisos especiales concedidos al usuario root, por 
- ejemplo, anular los permisos de los archivos, usar conexiones de - 

red sin procesar, etc. 
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Las capacidades se pueden asignar a los subprocesos de los procesos 
durante la ejecucion y a los ejecutables en el sistema de archivos. En 
cualquier caso, siempre hay tres conjuntos de capacidades: 


• permitted set (p): El permitted set contiene todas las capacidades que un 
hilo puede solicitar. Si se inicia un ejecutable, su conjunto permitido se usa 
para inicializar el conjunto de procesos permitido. 

• inheritable set (i): El inheritable set de un conjunto de ejecucion define 
las capacidades que se pueden reenviar desde el subproceso a un 
proceso secundario. Sin embargo, solo las capacidades definidas en el 
conjunto heredable dei archivo ejecutable dei proceso secundario se 
reenvian al proceso secundario. Por lo tanto, una capacidad solo se 
hereda si esta en el conjunto heredable dei proceso principal y en el 
atributo de archivo dei ejecutable secundario. 

• effective set (e): Este es el conjunto de capacidades que el kernel de Linux 
realmente comprueba cuando se solicita una operacion privilegiada de un 
subproceso de ejecucion. Al llamar a cap_set_proc (), un proceso puede 
deshabilitar o habilitar las capacidades. Solo las capacidades en el 
conjunto permitido (p) pueden estar habilitadas. En el sistema de 
archivos, el conjunto efectivo esta representado por un solo bit. Si se 
establece este bit, el ejecutable se inicia con todas las capacidades 
permitidas que tambien son efectivas. Si el bit no esta configurado, el 
nuevo proceso comienza sin las capacidades efectivas. 

_ y Las capacidades conceden privilegios administrativos a los 

Av ejecutables sin requerir el bit SUID en el modo de archivo. Por lo 

tanto, durante una investigacion forense, todas las capacidades de 
archivo deben estar documentadas. 


Al usar Python ctypes, la biblioteca compartida libcap. so. 2 puede utilizarse para 
recuperar todas las capacidades de archivo de un arbol de directorio, de la siguiente manera: 

#!/usr/bin/env python 


import ctypes 
import os 

from os.path import join 
import sys 

# load shared library 

libcap2 = ctypes.cdll.LoadLibrary('libcap.so.2') 

class cap2_smart_char_p(ctypes.c_char_p): 

"""Implements a smart pointer to a string allocated 
by libcap2.so.2""" 
def dei (self): 
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libcap2.cap_free(self) 

# note to ctypes: cap_to_text() returns a pointer 

# that needs automatic deallocation 

libcap2.cap_to_text.restype = cap2_smart_char_p 

def caps_from_file(filename): 

"""Returns the capabilities of the given file as text""" 

cap_t = libcap2.cap_get_file(filename) 

if cap_t == 0: 
return '' 

return libcap2.cap_to_text(cap_t, None).value 


def get_caps_list(basepath): 

"""Collects file capabilities of a directory tree. 

Arguments: 

basepath -- directory to start from""" 
resuit = {} 

for root, dirs, files in os.walk(basepath): 
for f in files: 

fullname = join(root, f) 

caps = caps_from_file(fullname) 

if caps != '': 

resuit[fullname] = caps 

return resuit 

if name_ == ' main ' : 

if len(sys.argv) < 2: 

print 'Usage %s root_directory' % sys.argv[0] 
sys.exit(1) 

capabilities = get_caps_list(sys.argv[1]) 

for filename, caps in capabilities.iteritems(): 
print "%s: %s" % (filename, caps) 
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La primera linea resaltada carga la biblioteca libcap. so. 2 para uso directo en 
Python. Como la memoria para la representacion de texto de las capacidades se 
asigna en esta biblioteca, es responsabilidad de la persona que Hama, es decir, 
nuestro script, desasignar esta memoria despues de su uso. La solucion para esta 
tarea, que se eligio aqui, es extender la representacion predeterminada ctype 
de puntero a caracter, es decir, ctype. c_char_p. La clase cap2_smart_char_p 
resultante es una version simple dei llamado puntero inteligente: si la 
representacion de Python de los objetos de esta clase se esta destruyendo, los 
objetos llamaran automaticamente a cap_f ree () para liberar los recursos 
correspondientes que fueron asignados previamente por libcap. so. 2 

Con la funcion de biblioteca cap_get_f ile (), se pueden recuperar las 
capacidades de un archivo. La llamada subsiguiente a cap_to_text () 
transforma esta representacion interna en texto legible por humanos. 

Si el script se guarda en chap03_capabilities .py, entonces se puede invocar 
en la maquina de laboratorio como se muestra a continuacion: 

user@lab:~$ python chap03_capabilities.py /usr 

Por supuesto, el resultado es altamente dependiente de la version y distribucion 
de Linux. Puede ser similar al siguiente: 

/usr/bin/gnome-keyring-daemon: = cap_ipc_lock+ep 

Este resultado significa que solo un ejecutable en /usr tiene las capacidades especiales 
establecidas: /usr/bin/gnome-keyring-daemon. El nombre de la capacidad viene 
dado por la constante cap ipc lock, esta capacidad esta en el conjunto permitido y es 
efectiva inmediatamente al iniciar este programa como se denota por + ep. 

Para resolver el significado de cap_ipc_lock, llamaremos a lo siguiente: 

user@lab:~$ man 7 capabilities 

Luego buscaremos CAP_IPC_LOCK. Esto revela que la capacidad otorga el derecho de 
bloquear las partes o la totalidad de la memoria de un proceso en la RAM y evitar el 
intercambio de ese proceso. Como gnome-keyring-daemon almacena credenciales de 
usuario en RAM, tener el privilegio de evitar que estas credenciales se escriban en el 
intercambio es muy recomendable desde una perspectiva de seguridad. 

Actualmente, la mayoria de las distribuciones de Linux estandar 
hacen poco uso de la funcion de capacidad de archivo. Por lo tanto, 

'yC-- las capacidades dei archivo descubierto, especialmente aquellas que 
no son necesarias para el funcionamiento normal, pueden ser el 
primer indicador de la manipulacion dei sistema. 
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informacion dei archivo de clustering 

En la seccion anterior, le mostramos como recuperar y recopilar metadatos de 
archivos dei sistema de archivos Linux / Unix. En esta seccion, proporcionaremos 
ejemplos para ubicar los cambios en los metadatos dei sistema de archivos, que 
pueden ser interesantes para una mayor inspeccion por parte dei investigador. 

Creacion de histogramas 

La creacion de histogramas es el proceso de agrupar los datos en contenedores de 
igual tamano y dibujar el tamano de estos contenedores. Con Python, el trazado de 
estos histogramas se puede lograr facilmente utilizando el modulo Python 
matplotlib. Una documentacion detallada que incluye los casos de uso, ejemplos y 
codigo fuente de Python esta disponible en http:// matplotlib.org/. 

La siguiente secuencia de comandos de Python se puede usar para generar y 
mostrar los histogramas de los tiempos de acceso a archivos y los tiempos de 
modificacion de archivos de un arbol de directorios: 

#!/usr/bin/env python 

from datetime import datetime 
from matplotlib.dates import DateFormatter 
import matplotlib.pyplot as plt 
import os 

from os.path import join 
import sys 

# max. number of bars on the histogram 
NUM_BINS = 200 

def gen_filestats(basepath): 

"""Collects metadata about a directory tree. 

Arguments: 

basepath -- root directory to start from 
Returns: 

Tuple with list of file names and list of 
stat results.""" 

filenames = [] 
filestats = [] 

for root, dirs, files in os.walk(basepath): 
for f in files: 
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fullname = join(root, f) 
filenames.append(fullname) 
filestats.append(os.lstat(fullname)) 
return (filenames, filestats) 

def show_date_histogram(times, heading='', block=False): 

"""Draws and displays a histogram over the given timestamps. 

Arguments: 

times -- array of time stamps as seconds since 1970-01-01 
heading -- heading to write to the drawing 

block - if True, the graph window waits for user interaction""" 

fig, ax = plt.subplots () 

times = map(lambda x: datetime.fromtimestamp(x).toordinal(), 
times) 

ax.hist(times, NUM_BINS) 

plt.xlabel('Date') 

plt.ylabel('# of files') 

plt.title(heading) 

ax.autoscale_view() 

ax.xaxis.set_maj or_formatter(DateFormatter('%Y-%m-%d')) 
fig.autofmt_xdate() 

fig.show() 
if block: 

plt.show() 

if name_ == ' main ': 

if len(sys.argv) < 2: 

print 'Usage %s base_directory' % sys.argv[0] 
sys.exit(1) 

path = sys.argv[1] 

(names, stats) = gen_filestats(path) 

# extract time stamps 

mtimes = map(lambda x: x.st_mtime, stats) 
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atimes = map(lambda x: x.st_atime, stats) 

show_date_histogram(mtimes, 'mtimes of ' + path) 
show_date_histogram(atimes, 'atimes of ' + path, True) 

La funcion gen_f ilestats () itera el arbol de directorios y recopila todos los datos 
de inodo. La funcion show_date_histogram () se usa para generar y mostrar los 
datos como un histograma. 

En la primera linea resaltada dei codigo, se cambia la codificacion de la marca de tiempo. 
Esto es necesario porque los datos de inodo nos dan las marcas de tiempo como el 
numero de segundos desde 1970-01-01. Este formato es lo que espera 
datetime. fromtimestamp (). Sin embargo, Matplotlib necesita marcas de tiempo en el 
numero de dias desde el 0001-01-01 dei calendario gregoriano. Afortunadamente, la clase 
datetime puede proporcionar esta representacion con su metodo toordinal (). 

La siguiente linea resaltada es la generacion real y el dibujo dei histograma en la 
siguiente figura. Todas las otras declaraciones de show_date_histogram () 
simplemente sirven para anadir etiquetas y formato al dibujo. 

El siguiente es un resultado de muestra dei directorio /sbin en un sistema 
de escritorio Linux estandar: 
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Aqui, las fechas de las principales actualizaciones dei sistema son claramente visibles. 
Un investigador debe saber que los metadatos dei archivo y estos histogramas no 
contienen informacion historica dei archivo. Por lo tanto, a partir dei histograma 
anterior, no se puede deducir que hubo pocas o ninguna actualizacion de seguridad 
antes de diciembre de 2011. Es mas probable que la mayoria de los archivos que fueron 
parchados antes de diciembre de 2011 se hayan modificado mas adelante, por lo tanto, 
enmascarando parches mas antiguos en el histograma 

Echemos un vistazo a la distribucion dei tiempo de acceso de este directorio: 



Este histograma proporciona informacion sobre el patron de acceso de este 
directorio. En primer lugar, el rastreo de marcas de hora en tiempo real esta 
habilitado en los sistemas. De lo contrario, las marcas de tiempo de acceso actual no 
serian visibles en el histograma. Alrededor de la mitad de los archivos se han leido 
recientemente. Esta informacion puede usarse para verificar la informacion sobre el 
momento en que se adquirio la evidencia o cuando el operador dei sistema afirmo 
haber desconectado el sistema. 

Ademas, es muy probable que los contenidos de este directorio no se escanearon 
regularmente en busca de virus y no se incluyeron recientemente en un archivo. 
Ambas acciones generalmente actualizan la marca de tiempo de Atime. 
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Si se emite el siguiente comando en el sistema, entonces /sbin escanea en busca de virus. Por 
supuesto, el escaner debe leer cada archivo en ese directorio para escanear su contenido: 

user@lab:~$ clamscan -i /sbin 

El diagrama de atime de / sbin refleja los cambios, de la siguiente manera: 



Los cambios son obvios: la mayoria de las barras se han colapsado en una en el 
momento actual, es decir, en el momento dei analisis de virus. La escala de tiempo 
se extiende a un solo dia. En consecuencia, la barra de la izquierda tambien se 
puede considerar como un resultado de la exploracion de virus. 



Si hay un directorio que tiene todas las marcas de tiempo atime 
en una sola fecha, este directorio fue copiado recientemente, 
escaneado en busca de virus o empaquetado en un archivo. Por 
supuesto, con suficientes derechos de acceso, las marcas de tiempo 
tambien podrian haberse configurado manualmente. 
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Tecnicas avanzadas de histograma 

En la seccion anterior, los histogramas se utilizaron para conocer los metadatos dei sistema 
de archivos. Sin embargo, estos histogramas tienen varias desventajas, como sigue: 

• Todas las barras de histograma tienen el mismo ancho 

• Las barras no se colocan segun el agrupamiento real de los datos, por 
ejemplo, un agrupamiento puede distribuirse en dos barras 

• Los valores atipicos desaparecen, es decir, las barras bajas se 
confunden facilmente con las barras vadas 

Por lo tanto, esta seccion presenta un ejemplo de como usar algoritmos simples de 
aprendizaje automatico para una agrupacion mas inteligente de los datos. Una biblioteca de 
aprendizaje de maquina ampliamente utilizada para Python es scikit-learn. Entre otros 
dominios, proporciona varios algoritmos para agrupar los datos de entrada. Recomendamos 
visitar http:/ / scikit-learn.org para obtener una vision general de todos los algoritmos y 
ejemplos de su uso. La siguiente secuencia de comandos de Python utiliza el algoritmo 
dbscan de scikit-learn para generar clusteres de un ancho determinado (en dias): 

#!/usr/bin/python 

from datetime import date 
import numpy as np 
import os 

from os.path import join 

from sklearn.cluster import DBSCAN 

import sys 

def gen_filestats(basepath): 

"""Collects metadata about a directory tree. 

Arguments: 

basepath — root directory to start from 
Returns: 

Tuple with list of file names and list of 
stat results.""" 

filenames = [] 
filestats = [] 

for root, dirs, files in os.walk(basepath): 
for f in files: 
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fullname = join(root, f) 
filenames.append(fullname) 
filestats.append(os.lstat(fullname)) 
return (filenames, filestats) 


def _calc_clusters(data, eps, minsamples): 
samples = np.array(data) 

db = DBSCAN(eps=eps, min_samples=minsamples).fit(samples) 

return (db.labels_, db.core_sample_indices_) 

def calc_atime_clusters(stats, days=l, mincluster=5): 

"""Clusters files regarding to their 'last access' date. 

Arguments: 

stats -- file metadata as returned as 2nd element by gen_filestats 
days -- approx. size of a cluster (default: accessed on same day) 
mincluster -- min. number of files to make a new cluster 

Returns: 

Tuple with array denoting cluster membership 
and indexes of representatives of cluster cores""" 

atimes = map(lambda x: [x.st_atime], stats) 

return _calc_clusters(atimes, days * 24 * 3600, mincluster) 

def calc_mtime_clusters(stats, days=l, mincluster=5): 

"""Clusters files regarding to their 'last modified' date. 

Arguments: 

stats -- file metadata as returned as 2nd element by gen_filestats 
days -- approx. size of a cluster (default: accessed on same day) 
mincluster -- min. number of files to make a new cluster 

Returns: 

Tuple with array denoting cluster membership 
and indexes of representatives of cluster cores""" 

mtimes = map(lambda x: [x.st_mtime], stats) 

return _calc_clusters(mtimes, days * 24 * 3600, mincluster) 


def calc_histogram(labeis, core_indexes, timestamps): 
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# reserve space for outliers (label -1), even if there are none 
num_entries = len(set(labeis)) if -1 in labeis else 

len(set(labeis))+1 

counters = [0] * num_entries 
coredates = [0] * num_entries 

for c in core_indexes: 
i = int(c) 

coredates[int(labeis[i])+1] = timestamps[i] 

for 1 in labeis: 

counters[int(1)+1] += 1 

return zip(coredates, counters) 

def print_histogram(histogram): 

# sort histogram by core time stamps 

sort_histo = sorted(histogram, cmp=lambda x,y: cmp(x[0],y[0])) 

print '[date around] [number of files]' 
for h in sort_histo: 
if h [0] == 0: 

print '<outliers>', 
else: 

t = date.fromtimestamp(h[0]).isoformat() 
print t, 

print ' %6d' % h[l] 


if name_ == ' main ' : 

if len(sys.argv) < 2: 

print 'Usage %s base_directory [number of days in one 
cluster]' % sys.argv[0] 
sys.exit(1) 

days = 1 

if len(sys.argv) > 2: 

days = int(sys.argv[2]) 

names, stats = gen_filestats(sys.argv[1]) 

print '%d files to analyze...' % len(names) 
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atime_labels, atime_cores = calc_atime_clusters(stats, days) 
mtime_labels, mtime_cores = calc_mtime_clusters(stats, days) 

atimes = map(lambda x: x.st_atime, stats) 
mtimes = map(lambda x: x.st_mtime, stats) 

ahisto = calc_histogram(atime_labels, atime_cores, atimes) 
mhisto = calc_histogram(mtime_labels, mtime_cores, mtimes) 

print "\n=== Access time histogram ===" 
print_histogram(ahisto) 

print "\n=== Modification time histogram ===" 
print_histogram(mhisto) 

La funcion gen_f ilestats () es identica a la version utilizada para los histogramas 
basicos en la seccion anterior. Las funciones calc_atime_clusters () y 
calc_mtime_ clusters () extraen el tiempo de acceso y modificacion de la 
informacion recopilada y la transmiten a la generacion de cluster en 
_calc_clusters. El dbscan se inicializa con dos parametros: el tamano de un cluster 
(eps, en segundos) y el numero minimo de datos de muestra que puede hacer un 
cluster (min_samples). Una vez que se establecen los parametros dei algoritmo, los 
datos se introducen con el fin de agruparlos mediante el metodo fit ( ). 

El resultado de esta agrupacion es una tupla que consta de etiquetas y una lista de 
Indices por etiqueta. Una etiqueta se correlaciona con un cluster que se encuentra en 
los datos de entrada. Su valor es el centro, es decir, la fecha promedio, de todas las 
fechas dei cluster. La etiqueta especial -1 actua como un contenedor para todos los 
valores atlpicos, es decir, todos los datos que no se podrlan asignar a un cluster. 

La funcion calc_histogram () cuenta el tamano de cada cluster y devuelve el 
histograma, es decir, las etiquetas y el numero de entradas como matriz bidimensional. 

Podemos ejecutar este script de Python en el directorio / sbin, de la siguiente manera: 

user@lab:~$ python timecluster.py /sbin 

El resultado puede ser similar al siguiente: 

202 files to analyze... 


=== Access time histogram - 
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[date around] [number of files] 
<outliers> 0 

2015-05-24 202 


=== Modification time histogram - 

[dare around] [number of files] 


<outliers> 64 

2011- 11-20 9 

2012- 02-09 5 

2012-03-02 6 

2012-03-31 11 

2012-07-26 6 

2012- 09-11 10 

2013- 01-18 15 

2013-01-26 6 

2013- 03-07 8 

2014- 06-18 29 

2014- 11-20 7 

2015- 02-16 19 

2015-05-01 7 


Aquf, el histograma de tiempo de acceso muestra solo una entrada, lo que refleja 
nuestro analisis anterior dei directorio. Ademas, todas las principales 
actualizaciones dei sistema en el pasado reciente se muestran en el histograma dei 
tiempo de modificacion. 

Con esta herramienta, el investigador puede agrupar la informacion dei sistema de 
archivos para detectar el escaneo o la extraccion de los directorios, asi como los 
parches de seguridad descuidados. Ademas, el grupo especial -1 se puede analizar 
para obtener los nombres de los archivos, que se modificaron fuera de las 
principales actualizaciones dei sistema. 
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Resumen 

En este capitulo, vimos ejemplos prominentes de las propiedades especiales de los 
sistemas de Microsoft Windows y Linux (y similar a Linux). Ahora puede extraer 
informacion dei registro de eventos de Windows, ei registro de Windows, los 
archivos de Linux y ei sistema de archivos de Linux. Usando Python, toda esta 
informacion puede ser analizada automatica y semiautomaticamente para los 
Indicadores de Compromiso, reconstruyendo ia actividad reciente dei sistema y los 
signos de exfiltracion. 

Ademas, leer las capacidades dei sistema de archivos nos muestra como usar ctype 
para cargar las bibliotecas nativas para ayudar ai analisis dei sistema de archivos. 

En ia agrupacion de informacion de archivos, proporcionamos ei primer ejemplo 
sobre como usar los algoritmos basicos de aprendizaje automatico para soportar ei 
analisis forense. 

Ahora que echamos un vistazo a los sistemas locales, iremos ai siguiente capitulo y 
echaremos un vistazo ai trafico de red y como buscar los Indicadores de 
Compromiso (IOC) alii. 
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Uso de Python para analisis 
forense de redes 

En este capitulo, nos centraremos en las partes de la investigacion forense que 
son especificas de la capa de red. Elegiremos uno de los paquetes de Python 
mas utilizados para manipular y analizar el trafico de red (Scapy), asf como un 
framework de codigo abierto recientemente lanzado por el Laboratorio de 
Investigacion dei Ejercito de los EE. UU. (Dshell). Para ambos conjuntos de 
herramientas, hemos seleccionado los ejemplos de evidencia interesante. Este 
capitulo te ensenara lo siguiente: 

• Como buscar el IOC en el trafico de red 

• Como extraer archivos para un analisis mas detallado 

• Como monitorear los archivos accedidos a traves dei Bloque de mensajes dei servidor (SMB) 

• Como construir su propio escaner de puertos 


Usando Dshell durante una investigacion 

Dshell es un juego de herramientas de analisis forense de red basado en Python que es 
desarrollado por el Laboratorio de Investigacion dei Ejercito de Estados Unidos y 
lanzado como codigo abierto a finales de 2014. Puede ayudar a hacer las investigaciones 
forenses en la capa de red un poco mas facil. El juego de herramientas viene con una 
gran cantidad de descodificadores que se pueden usar fuera de la caja y son muy utiles. 
Algunos de estos decodificadores son los siguientes: 

• dns: Extrae y resume consultas/respuestas de DNS 

• reservedips: Identifica las resoluciones de DNS que caen en el espacio de IP reservado 

• large-flows: Muestra los flujos netos que al menos han transferido 1 MB 
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• rip-http: Extrae los archivos dei trafico HTTP 

• protocols: Identifica los protocolos no estandar 

• synrst: Detecta los intentos fallidos de conectarse (SYN seguido de un RST/ACK) 

Dshell puede instalarse en nuestro entorno de laboratorio donando las fuentes de GitHub 
en https:// github.com/USArmyResearchLab/Dshell y ejecutando install-ubuntu. py 
Este script descargara automaticamente los paquetes faltantes y creara los ejecutables que 
necesitaremos luego. Dshell se puede usar contra los archivos pcap que se han grabado 
durante los incidentes o como resultado de una alerta de IDS. Un archivo de captura de 
paquetes (pcap) es creado por libpcap (en Linux) o WinPcap (en Windows). 

En la siguiente seccion, explicaremos como un investigador puede usar Dshell demostrando el 
conjunto de herramientas con escenarios dei mundo real que se recopilan de http://malware- 
traffic-analysis.net. 

El primer ejemplo es un archivo ZIP malicioso que un usuario ha encontrado a traves de 
un enlace de correo electronico. El usuario inicio sesion en Gmail y presiono el enlace de 
descarga en el correo. Esto se puede ver facilmente con el decodificador web de Dshell, de 
la siguiente manera: 

user@lab:~$ source labenv/bin/activate 
(labenv)userglab:~$ ./dshell 

(labenv)userglab:~$ Dshell> decode -d web infected_email.pcap 


web 2015-05-29 16:23:44 10.3.162.105:62588 -> 74.125.226.181:80 

** GET mail.google.com/ HTTP/1.1 
// 200 0K 2015-05-29 14:23:40 ** 


web 2015-05-29 16:24:15 10.3.162.105:62612 <- 149.3.144.218:80 

** GET sciclubtermeeuganee.it/wp-content/plugins/feedweb_data/pdf_efax 
message_3537462.zip HTTP/1.1 
// 200 0K 2015-05-28 14:00:22 ** 


[ 78 ] 



Chapter 4 


AI mirar el extracto de trafico anterior, el archivo ZIP podria ser el primer 
indicador de compromiso. Por lo tanto, deberiamos analizarlo mas a fondo. La 
forma mas facil de hacerlo es extraer el archivo ZIP dei archivo pcap y comparar 
su hash md5 con la base de datos VirusTotal: 

(labenv)user@lab:~$ Dshell> decode -d rip-http --bpf "tcp and port 
62612" infected_email.pcap 


rip-http 2015-05-29 16:24:15 10.3.162.105:62612 <- 

149.3.144.218:80 ** New file: pdf_efax_message_3537462.zip 

(sciclubtermeeuganee.it/wp- 

content/plugins/feedweb_data/pdf_efax_ message_3537462.zip) ** 
--> Range: 0 - 132565 

rip-http 2015-05-29 16:24:15 10.3.162.105:62612 <- 

149.3.144.218:80 ** File done: ./pdf_efax_message_3537462.zip 

(sciclubtermeeuganee.it/wp- 

content/plugins/feedweb_data/pdf_efax_ message_3537462.zip) ** 
(labenv)user@lab:~$ Dshell> md5sum 

pdf_efax_message_3537462.zip 9cda66cba36af799c564b8b33c390bf4 

pdf_efax_message_3537462.zip 

En este caso simple, nuestra primera suposicion fue correcta ya que el 
archivo ZIP descargado contiene otro ejecutable que parte de un kit de 
malware infostealer, como se ve en la siguiente captura de pantalla: 


•Sviri 

SHA256: 

Datemame: 

Erkennjr>gsrate: 

AnaJyse-Datum: 

jstotal 

78d00td08085eb2c43534 74e506305da4bda767d75f3ce4c28b826490e0d1 b89 

pdf_efax message. 3637462^ip 

40/57 

2015-06-11 07:29:15 UTC (vor 4 Tage. 13 Stunden) 

%2 ®0 

S Analyse Q. File detail 3C Reiatk>nship3 O Zusfitzliche Infcxmalionen # Kommentare ^ 

Bewertungen 

Antivirus 

Ergebnis 

Aktualisierung 

ALYac 

Trojan.GenencKD.2447672 

20150611 

AVG 

Genefic36.BNIU 

20150611 

AWyare 

Lookshke.Win32.Crowti.an!ag (v) 

20150611 

Ad-Aware 

Trojan.GenennKD.244767? 

20150611 
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Otro ejemplo muy bueno es la busqueda de los archivos a los que accede en un 
recurso compartido de red a traves dei protocolo SMB. Esto puede ser muy util 
cuando se trata de averiguar si un atacante pudo acceder o incluso exfiltrar los 
datos y, si tuvo exito, que datos se han filtrado potencialmente: 

(labenv)userglab:~$ Dshell> decode -d smbfiles exfiltration.pcap 

smbfiles 2005-11-19 04:31:58 192.168.114.1:52704 -> 

192.168.114.129:445 ** VNET3\administrator \\192 .168.114.129\TEST\ 

torture_qfileinfo.txt (W) ** 

smbfiles 2005-11-19 04:31:58 192.168.114.1:52704 -> 

192.168.114.129:445 ** VNET3\administrator \\192 .168.114.129\ 

TESTTORTUR~l.TXT (-) ** 

smbfiles 2005-11-19 04:31:58 192.168.114.1:52705 -> 

192.168.114.129:445 ** VNET3\administrator \\192 .168.114.129\TEST\ 

testsfileinfo\fname_test_18.txt (W) ** 

Con la ayuda dei decodificador rip-smb-uploads, Dshell tambien puede extraer 
automaticamente todos los archivos cargados dei archivo pcap grabado. Otro 
ejemplo interesante es buscar ei IOC con la ayuda de las regias de snort, que Dshell 
tambien puede hacer de la siguiente manera: 

(labenv)userglab:~$ Dshell> decode -d snort malicious-word-document. 
pcap --snort_rule 'alert tcp any 443 -> any any (msg:"ET 
CURRENT_EVENTS Tor2Web .onion Proxy Service SSL Cert (1)"; 
content:"|55 04 03 | " ; content:"*.tor2web.";) ' -snort_alert 

snort 2015-02-03 01:58:26 38.229.70.4:443 

192.168.120.154:50195 ** ET CURRENT_EVENTS Tor2Web .onion Proxy Service 
SSL Cert (1) ** 

snort 2015-02-03 01:58:29 38.229.70.4:443 

192.168.120.154:50202 ** ET CURRENT_EVENTS Tor2Web .onion Proxy Service 
SSL Cert (1) ** 

snort 2015-02-03 01:58:32 38.229.70.4:443 

192.168.120.154 :50204 ** ET CURRENT_EVENTS Tor2Web .onion Proxy 
Service SSL Cert (1) ** 

En este ejemplo, abrimos un documento de Word potencialmente malicioso que 
hemos recibido en un correo electronico no deseado. EI documento de Word 
intenta descargar el malware Vawtrak y, por lo tanto, se comunica a traves de la 
red Tor. La regia snort que estamos utilizando proviene de Amenazas emergentes, 
(consulte http: // www. Emergingthreats.net/), y esta buscando certificados SSL 
conocidos para el servicio Tor2Web (un servicio para permitir a los usuarios 
acceder a los servicios de Tor Onion sin usar el Tor Browser). Se pueden hacer 
verificaciones similares usando todas las regias de snort disponibles y pueden ser 
muy utiles si esta buscando un ataque especifico dentro de la red. 
- [80] - 



Chapter 4 


Como alternativa a los archivos pcap mostrados, todos los ejemplos demostrados 
tambien se pueden ejecutar en una conexion de red activa con la ayuda dei indicador 
-i interface_name como se muestra a continuacion: 

(labenv)user@lab:~$ Dshell> decode -d netflow -i ethO 


2015-05-15 21:35:31.843922 
-> None) TCP 52007 

2015-05-15 21:35:31.815329 
-> None) TCP 46664 

2015-05-15 21:35:32.026244 
-> None) TCP 40595 

2015-05-15 21:35:33.562660 
-> None) TCP 40599 

2015-05-15 21:35:32.026409 
-> None) TCP 40596 

2015-05-15 21:35:33.559826 
-> None) TCP 40597 


192.168.161.131 

-> 

85.239.127.88 

80 0 0 

0 

0 5. 

192.168.161.131 

-> 

85.239.127.84 

80 0 0 

0 

0 5. 

192.168.161.131 

-> 

208.91.198.88 

80 9 25 

4797 

169277 6. 

192.168.161.131 

-> 

208.91.198.88 

80 9 19 

4740 

85732 5.: 

192.168.161.131 

-> 

208.91.198.88 

80 7 8 

3843 

121616 6. 

192.168.161.131 

-> 

208.91.198.88 

80 5 56 

2564 

229836 5.: 


En este ejemplo, estamos generando los datos de flujo neto de una conexion 
activa. Dshell esta escrito puramente en Python, lo que lo hace altamente 
adaptable a todas las necesidades de los investigadores forenses y tambien se 
puede usar en una cadena con otras herramientas o procesos predefinidos. 

Si quiere probar esto, puede descargar los archivos de muestra de 

http://www.emergingthreats.net/. 


Uso de Scapy durante una investigacion 

Otra gran herramienta basada en Python para analizar y manipular el trafico de red es 
Scapy. Segun el sitio web dei desarrollador, http://www.secdev.org/projects/scapy/: 


"Scapy es un poderoso programa interactivo de manipulacion de paquetes. Es 
capaz de forjar o descifrar paquetes de una gran cantidad de protocolos, enviarlos 
por cable, capturarlos, hacer coincidir solicitudes y respuestas, y mucho mas". 

Scapy difiere de las herramientas estandar (y tambien de Dshell) al proporcionar a 
un investigador la capacidad de escribir pequenos Scripts de Python que pueden 
manipular o analizar el trafico de la red, ya sea en forma grabada o en tiempo real. 
Ademas, Scapy tiene la capacidad de realizar disecciones profundas de paquetes, 
huellas dactilares pasivas OS o trazar a traves de herramientas de terceros, como 
GnuPlot, ya que las caracteristicas integradas ya estan disponibles. 
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EI siguiente script de Python, que se extrae de Desarrolle sus propias 
herramientas forenses: Una taxonomla de las bibliotecas de Python utiles para el 
andlisis forense, la sala de lectura de SANS Institute InfoSec, es un breve ejemplo 
de lo poderoso que es Scapy: 

import scapy, GeoIP 
from scapy import * 

geolp = GeoIP.new(GeoIP.GEOIP_MEMORY_CACHE) 
def locatePackage(pkg): 
src=pkg.getlayer(IP).src 
dst=pkg.getlayer(IP).dst 

srcCountry = geolp.country_code_by_addr(src) 
dstCountry = geolp.country_code_by_addr(dst) 
print srct"("+srcCountry+") » 

"tdstt"("+dstCountry+")\n" try: 
while True: 

sniff(filter="ip", prn=locatePackage, store=0) 
except Keyboardlnterrupt: 

print "\n" + "Scan Aborted!" 

Este script registra las estadisticas sobre la geolocalizacion de la tuente de la 
direccion IP y el destino de una conexion de red en curso. Despues de importar el 
paquete Scapy en nuestro script de Python, llamamos a la funcion de sniff y 
usamos un filtro para detectar solo los paquetes IP. El ultimo parametro en la 
funcion sniff es muy importante si planea ejecutar secuencias de comandos Scapy 
durante mucho tiempo. Con la ayuda dei parametro store, puede decirle a Scapy 
que no almacene en cache todos los paquetes en la memoria RAM durante el 
tiempo de ejecucion y que, por lo tanto, haga que el script sea mas rapido y ahorre 
recursos. La funcion posterior busca la geolocalizacion de la direccion IP de origen 
y de destino que se extrae de cada paquete. 

En el siguiente ejemplo, ilustraremos como construir un escaner de puertos muy 
simple con la ayuda de Scapy, de la siguiente manera: 

# !/usr/bin/env python 
import sys 

from scapy.ali import * 

targetRange = sys.argv[l] 
targetPort = sys.argv[2] 
conf.verb=0 

p=IP(dst=targetRange)/TCP(dport=int(targetPort) , 
flags="S") ans,unans=sr(p, timeout=9) 

for answers in ans: 

if answers[1].flags == 2: 

print answers[1].src 
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Este pequeno script puede escanear rangos IP completos para un puerto 
abierto dado. Si esta buscando los servidores web que estan escuchando en el 
puerto 80 , puede usar el script, de la siguiente manera: 

(labenv)userglab:~$ ./scanner.py 192.168.161.1/24 80 
WARNING: No route found for IPv6 destination :: (no default route?) 

Begin emission:. 

192.168.161.12 

192.168.161.34 

192.168.161.111 


Tambien podemos usar el Protocolo de resolucion de direcciones (ARP) para un 
reconocimiento de todo el rango de red al que esta conectado nuestro sistema. Con 
la ayuda dei siguiente script, obtenemos una tabla bien impresa con todas las 
direcciones IP que estan en linea y tambien sus direcciones MAC correspondientes: 

#! /usr/bin/env python 
import sys 

from scapy.all import srp,Ether,ARP,conf 
if len (sys.argv) != 2: 

print "Usage: arp_ping <net> (e.g.,: arp_ping 
192.168.1.0/24)" sys.exit(1) 

conf.verb=0 

ans,unans=srp(Ether(dst="ff:ff:ff:ff:ff:ff")/ARP(pdst=sys.argv[1]), 
timeout=9) 

print r"H--I-+" 

print r"| MAC | IP |" 

print r"H-H-+" 

for snd,rcv in ans: 

print rcv.sprintf(r" %Ether.src% | %ARP.psrc%") 
print r"-t-1-+ " 

Al ejecutar el script, recibiremos algo similar a esto: 

(labenv)userglab:~$ ./arp_ping.py 192.168.161.131/24 

WARNING: No route found for IPv6 destination :: (no default route?) 
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+-+-+ 

| MAC | IP | 

+-+-+ 

00:50:56:c0:00:08 | 192.168.161.1 

00:50:56:f5:d3:83 | 192.168.161.2 

00:50:56:f1:2d:28 | 192.168.161.254 

+-+-+ 

Los Scripts como estos dos pueden ser muy utiles si no hay un escaner de 
puertos disponible en el sistema o si desea encadenar un escaner de puertos con 
los otros Scripts basados en Python para su investigacion. 


Resumen 

Este capitulo proporciono una descripcion general de los dominios de las 
investigaciones forenses basadas en la red y los ejemplos con Dshell y Scapy. 
Hemos demostrado como buscar conexiones HTTP sospechosas (como descargas 
de archivos) o como buscar datos filtrados a traves dei protocolo SMB con Dshell. 
En la segunda seccion, creamos nuestro propio escaner de puertos con la ayuda de 
Scapy y lo usamos para recopilar mas informacion sobre los sistemas 
potencialmente comprometidos. 

Despues discutimos las areas de algoritmos forenses, los sistemas Windows y 
Unix, asi como la capa de red, el siguiente capitulo se ocupara de los sistemas 
virtualizados y hipervisores que se estan convirtiendo en una parte importante de 
cada empresa. 
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5 

Uso de Python para Ia 
virtualizacion forense 


Actualmente, Ia virtualizaci- n es uno de los conceptos m§s modernos de Ia IT 
moderna. Para el an§l i sis forense, presenta nuevos desaf 2 osy nuevast@nicas. 
En estecap 2 tulo, mostraremos c- mo Ia virtualizaci- n presenta Io si gu i ente: 

• Nuevos vectores de ataqu e 

• Nuevasposibilidadesdereunir pruebas 

• Nuevos objetivos para el analisis forense, como la capa de virtualizacion 

• Nuevas fuentes de datos forenses 


Considerando la virtualizacion como 
una nueva superficie de ataque 

Antes de comenzar con un analisis forense, es importante comprender que 
buscar. Con la virtualizacion, hay nuevos vectores de ataque y escenarios que 
se introducen. En las siguientes secciones, describiremos algunos de los 
escenarios y como buscar la evidencia correspondiente. 
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Virtualizacion como capa adicional 
de abstraccion 

La virtualizacion es la tecnica de emular sistemas de IT como servidores, estaciones 
de trabajo, redes y almacenes. EI componente responsable de la emulacion dei 
hardware Virtual se define como hypervisor. La siguiente figura muestra los dos 
tipos principales de virtualizacion de sistemas que se usan hoy: 



app 


OS 

OS OS.. 

native apps 

hypervisor 

operatingsystem 

hardware 


application 


operatingsystem 

OS 

OS 

OS.. 

hypervisor 

hardware 


TLa arquitectura en el lado izquierdo se llama arquitectura bare-metal hypervisor 
y tambien se conoce como hipervisor de tipo 1. En esta arquitectura, el hipervisor 
reemplaza el sistema operativo y se ejecuta directamente en el hardware bare 
metal. Ejemplos de hipervisores de tipo I son VMware ESXi y Microsoft Elyper-V. 

El lado derecho de la imagen representa una arquitectura que se suele 
recomendarcomo desktop virtualization o un hipervisor de tipo 2. En esta 
arquitectura, hay un sistema operativo estandar que se ejecuta en el hardware, por 
ejemplo, un sistema de escritorio estandar Windows 8 o Linux. El hipervisor se 
ejecuta entre otras aplicaciones nativas directamente en este sistema operativo. 
Algunas funcionalidades dei hipervisor pueden interactuar directamente con el 
hardware subyacente, por ejemplo, proporcionando controladores especiales. Para 
los hipervisores de tipo 2, el sistema operativo que se ejecuta directamente en el 
hardware se denomina sistema operativo host, mientras que el sistema operativo 
que se ejecuta en una maquina Virtual se denomina sistema operativo invitado. 
Ejemplos de arquitecturas de hipervisor Tipo 2 son Oracle VirtualBox y VMware 
Workstation. Estos hipervisores se pueden instalar como cualquier otra aplicacion 
en un sistema operativo existente. 

Si bien Hyper-V parece tipo 2, en realidad convierte el 
sistema operativo host en otro sistema operativo 
huesped durante la instalacion y establece una 
arquitectura tipo 1. 



[ 86 ] 





























Chapter 5 


Una caracterfstica comun de casi todos los entornos de virtualizacion es la 
capacidad de crear snapshots. Una snapshot de un sistema Virtual contiene un 
estado congelado en el tiempo dei sistema. Todos los cambios en el sistema que 
ocurren despues de la creacion de la snapshot pueden ser deshechos por el 
hipervisor para retroceder hasta el momento en que se tomo la snapshot. Ademas, 
la mayoria de los sistemas permiten tener multiples snapshot de unsistema unico y 
retroceder y avanzar a instantaneas arbitrarias. Las snapshot se pueden utilizar 
como una tuente de datos forenses, que demostraremos en la seccion Uso de la 
virtualizacion como tuente de evidencia. 

Para los forenses, las snapshots deben ser tratadas como maquinas 
independientes. Si un sistema virtual esta sujeto al analisis forense, 
siempre verifique si este sistema es un sistema virtual y si hay 
snapshots. Si existen snapshots, el analisis forense debe repetirse para 
( cada snapshots como si se tratara de una maquina virtual 

yV independiente. La razon detras de este requisito es que es muy 

probable que no se conozca cuando el sistema se vio comprometido, 
cuando el atacante intento destruir la evidencia y lo mas importante, 
que version de la maquina se estaba ejecutando durante el ataque. 


La mayoria de los entornos de virtualizacion constan de mas de un hipervisor. Para 
facilitar la administracion de multiples hipervisores y habilitar caracteristicas 
adicionales; por ejemplo, movimiento de maquinas entre hipervisores para la 
conmutacion por error, equilibrio de carga, y ahorrar energia; Estos entornos 
proporcionan una administracion Central para todos los hipervisores. En el caso de 
VMware vSphere, este componente de gestion se Hama vCenter Server, como sigue: 



Si se utiliza vCenter Server, se supone que todas las tareas administrativas deben 
manejarse a traves de esta instanda de vCenter Server. 

.jComo influye esta nueva capa de hipervisor en escenarios de ataque y analisis 
forense? r , 
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La introduccion de la nueva capa de hipervisor tambien introduce una nueva capa 
que se puede usar para manipular sistemas virtuales sin deteccion y agrega otra 
capa nueva que puede estar sujeta a los ataques. En las siguientes sectiones, 
proporcionaremos algunos ejemplos de escenarios para ataques que se cometen a 
traves dei hipervisor. 

Creacion de maquinas rogue 

Si un atacante puede obtener acceso al hipervisor, puede simplemente crear 
nuevos recursos virtuales. Estos recursos pueden actuar como cabeza de puente 
en la red o simplemente robar los recursos de memoria y calcular los recursos dei 
entorno. Por lo tanto, es crucial extraer la creacion y la eliminacion de recursos 
virtuales durante un analisis forense dei entorno de hipervisor. 

Afortunadamente, cada entorno de virtualization generalizado ofrece APIs y 
enlaces de idioma para enumerar las maquinas virtuales y otros recursos virtuales 
dei entorno. En este capitulo, elegimos utilizar VMware vSphere como ejemplo 
destacado de un entorno de virtualization. 

VMware vSphere es uno de los entornos de virtualization mas utilizados 
para la virtualization en las instalaciones. Su estructura basica consiste en 
una instantia de administracion Central llamada vCenter Server y uno o 
varios sistemas que en realidad albergan el entorno Virtual (hipervisores), 
llamados servidores ESXi. Para controlar mediante programacion un 
entorno de vSphere con Python, se usa pyVmomi. Este Python SDK esta 
disponible en Github en https:// github.com/vmware/pyvmomi. 

A continuacion, usaremos pyVmomi para crear una lista de todas las maquinas virtuales. 
Se recomienda ejecutar dicho analisis de inventario a intervalos regulares para comparar 
la lista de activos virtuales existentes con su base de datos de inventario local. 

Recomendamos instalar pyVmomi usando pip: 

user@lab:~$ pip install —upgrade pyVmomi 
Codigo de ejemplo para pyVmomi 

Hay un proyecto en GitHub sobre un codigo de ejemplo provisto por 
la comunidad para pyVmomi. Puede obtener mas informacion sobre 
estas muestras en https://vmware.github.io/pyvmomi-community- 
samples/. 
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A continuatiori, se puede usar un script como se muestra a continuacion para 
enumerar todos los sistemas dei entorno vSphere: 

#!/usr/bin/env python 

from pyVim import connect 
from pyVmomi import vmodl 
import sys 

def print_vm_info(vm): 

II II II 

Print the information for the given Virtual machine. 

If vm is a folder, recurse into that folder. 


# check if this a folder... 
if hasattr(vm, 'childEntity' ) : 
vms = vm.childEntity 
for child in vms: 

print_vm_info(child) 


vm_info = vm.summary 


print 

print 

print 

print 

print 

print 

print 


' Name: ', 

'State: 

' Path: 

' Guest: ', 

' UUID: ', 

'Bios UUID: ', 


vm_info.config.name 
vm_info.runtime.powerState 
vm_info.config.vmPathName 
vm_info.config.guestFullName 
vm_info.config.instanceUuid 
vm_info.config.uuid 


if name_ == ' main ' : 

if len(sys.argv) < 5: 

print 'Usage: %s host user password port' % sys.argv[0] 
sys.exit (1) 

Service = connect.SmartConnect(host=sys.argv[1] , 

user=sys.argv[2] , 
pwd=sys.argv[3] , 
port=int(sys.argv[4])) 


# access the inventory 

content = Service.RetrieveContent() 
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children = content.rootFolder.childEntity 

# iterate over inventory 
for child in children: 

if hasattr(child, 'vmFolder'): 

dc = child 
else: 

# no folder containing Virtual machines -> ignore 
continue 


vm_folder = dc.vmFolder 
vm_list = vm_folder.childEntity 
for vm in vm_list: 

print_vm_info(vm) 

Este script crea una conexion a la plataforma vCenter Server. Sin embargo, tambien 
se puede usar para conectarse a una sola instancia de hipervisor ESXi. Esto es 
posible porque la API ofrecida al script es identica para ambas variantes de 
administracion. 


[ 


La API utilizada por pyVmomi es la API dei servicio web de vSphere. 
' Una descripcion detallada esta disponible en el SDK de Servicios web 
" de vSphere a traves de https://www.vmware.com/support/ 
developer/vc-sdk/. 


] 


Las lineas resaltadas muestran que la secuencia de comandos usa la recursividad 
para enumerar todas las maquinas virtuales. Esto es necesario porque en 
VMware vSphere, las maquinas virtuales pueden colocarse en grupos anidados. 


Aqui hay una llamada de muestra de este script con el resultado de una sola maquina Virtual: 


user@lab:~$ python enumerateVMs.py 192.168.167.26 'readonly' 'mypwd' 
443 Name: vCenterServer 
State: poweredOff 

Path: [datastorel] vCenterServer/vCenterServer.vmx 

Guest: Microsoft Windows Server 2012 (64-bit) 

UUID: 522b96ec-7987-a974-98fl-ee8c4199dda4 

Bios UUID: 564d8ec9-lb42-d235-a67c-d978c5107179 


El resultado muestra el nombre de la maquina Virtual, su estado actual, la ruta de 
acceso de su archivo de configuracion, una sugerencia para el sistema operativo 
invitado y las ID unicas para la instancia y la configuracion de la BIOS. La 
informacion de la ruta es valiosa, especialmente, porque muestra donde encontrar 
toda la configuracion de la maquina Virtual y el archivo de datos. 
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Clonacion de sistemas 

En la seccion anterior, utilizamos la API dei hipervisor para obtener los datos 
forenses. En esta seccion, buscaremos rastros de abuso de esta API. Por lo tanto, 
analizaremos la informacion de registro de la instalacion de vSphere. 



Recopilar informacion de registro en un sistema de registro Central 

En esta seccion, asumiremos que la informacion de registro se almacena con 
la configuracion predeterminada de la instalacion de vSphere. Sin embargo, 
al configurar un sistema, recomendamos almacenar la informacion de 
registro en un sistema de registro dedicado. Esto hace que sea mas dificil 
para un atacante manipular los registros dei sistema ya que requiere acceso 
no solo a su sistema de destino, sino tambien al sistema Central de 
recopilacion de registros. Otra ventaja de muchos sistemas centrales de 
recopilacion de registros es la funcion integrada de analisis de registros. 


Si bien se recomienda encarecidamente una copia de todos los registros dei sistema 
para un analisis forense solido, los eventos unicos tambien se pueden revisar 
utilizando el navegador de eventos de VMware vSphere, de la siguiente manera: 



EI entorno vSphere ofrece la recopilacion y el almacenamiento de todos los 
archivos de registro en un archivo. Realice los siguientes pasos para obtener un 
archivo de todos los datos de registro disponibles: 


• Use la version de Windows de vSphere Web Client e inicie sesion 

en vCenter Server. 

• En el menu Administracion, seleccione Exportar registros dei sistema. 
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• Seleccione uno o varios servidores de vCenter para exportar los 
registros, como se muestra a continuacion: 


0 


Export System Logs 


Source 

Spedfy where System logs should be gathered from. 


Source 

Select System Logs 
Download Location 
Ready to Complete 


System Logs 

You may download system logs for vCenter Server and any of the hosts below: 

192.168.167.26 
B 0 J Datacenter 

0Q 192.168.167.23 


P Indude Information from vCenter Server and vSphere Client 
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• Cuando se le solicite Seleccionar registros dei sistema, asegurese de 
que todos los tipos de registro esten seleccionados de la siguiente 
manera: 



Los archivos de registro se guardan como archivos comprimidos. Un archivo representa 
la informacion de registro de un sistema, es decir, vCenter Server o ESXi host. 

Primero, extraeremos el archivo de registro recopilado usando tar con un comando de 
la siguiente manera: 

user@lab:~$ tar xfz 192.168.167.26-vcsupport-2015-07-05@ll-21-54.tgz 

El nombre de fichero de este archivo sigue el formato Elost/IP-vcsupport (para 
vCenter Server)-timestamp. El directorio en este archivo sigue el esquema de nombres 
vc-Elostname-Timestamp, por ejemplo, vc-winserver-2015-07-05--02.19. Las 
marcas de tiempo dei nombre dei archivo y el directorio contenido generalmente no 
coinciden. Esto puede deberse a la deriva dei reloj y al tiempo requerido para 
transmitir y comprimir los registros. 
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A continuatiori, utilizaremos los registros de vCenter Server para reconstruir los 
eventos que indican la clonacion de maquinas virtuales. En este ejemplo, utilizaremos 
la redundancia de los registros y utilizaremos los datos de registro de uno de los 
servicios core de vCenter Server: vpxd, es decir, el demonio de vCenter core: 

#!/usr/bin/env python 

import gzip 
import os 

from os.path import join 
import re 
import sys 


# used to map session IDs to users and source IPs 
session2user_ip = {} 

def _logopen(filename): 

"""Helper to provide transparent decompressing of compressed 
logs, if indicated by the file name. 

II II II 

if re.match(r'.*\.gz', filename): 
return gzip.open(filename, 'r') 

return open(filename, 'r') 

def collect_session_data(vpxlogdir): 

"""Uses vpx performance logs to map the session ID to 
source user name and IP""" 

extract = re.compile(r'SessionStats/SessionPool/Session/ 

Id=\' ([ A \']+)\'/Username=\' ([ A \']+)\'/ClientIP=\' ([ A \']+)V ') 

logfiles = os.listdir(vpxlogdir) 

logfiles = filter(lambda x: 'vpxd-profiler-' in x, 
logfiles) for fname in logfiles: 
fpath = join(vpxlogdir, fname) 
f = _logopen(fpath) 

for line in f: 

m = extract.search(line) 
if m: 
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session2user_ip[m.group(1)] = (m.group(2), m.group(3)) 

f.close() 

def print_cloning_hints(basedir): 

"""Print timestamp, user, and IP address for VM cloning without 
by reconstructing from vpxd logs instead of accessing 
the 'official' event logs""" 
vpxlogdir = join(basedir, 'ProgramData', 

'vCenterServer', 

'logs', 

'vmware-vpx') 

collect_session_data(vpxlogdir) 

extract = re.compile(r' A ([ A ]+).*BEGIN task-.*?vim\. 
VirtualMachineX.clone -- ([0-9a-f-]+).*') 

logfiles = os.listdir(vpxlogdir) 

logfiles = filter(lambda x: re.match('vpxd-(0-9]+.log(.gz)?', x), 
logfiles) 

logfiles.sort() 

for fname in logfiles: 

fpath = join(vpxlogdir, fname) 
f = _logopen(fpath) 

for line in f: 

m = extract.match(line) 
if m == None: 
continue 

timestamp = m.group(1) 
session = m.group(2) 

(user, ip) = session2user_ip.get(session, 

('***UNKNOWN** *', '***UNKNOWN***') ) 

print 'Hint for cloning at %s by %s from %s' % (timestamp, 

user, ip) 

if name_ == ' main ': 

if len(sys.argv) < 2: 

print 'Usage: %s vCenterLogDirectory' % sys.argv[0] 
sys.exit(1) 

print_cloning_hints(sys.argv[1]) 
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Primero, este script lee el llamado registro de rendimiento de vpxd. Este registro 
contiene datos sobre sesiones de clientes y lo utilizamos para extraer una asignacion dei 
identificador de sesion unico al nombre de usuario dei cliente y la direccion IP desde la 
que se conecta el cliente. En el segundo paso, se busca el registro principal de vpxd para 
el inicio de tareas de vim. Tipo virtualMachine. clone, es decir, la clonacion de 
maquinas virtuales en el lado dei servidor. La informacion de la sesion se busca en la 
asignacion que se extrae dei registro de rendimiento para recuperar los datos sobre 
posibles eventos de clonacion, de la siguiente manera: 

user@lab:~$ python extractCloning.py vc-winserver-2015-07-05-- 
02.19/ Hint for cloning at 2015-07-05T01:30:01.071-07:00 by 
VSPHERE.LOCAL\ 

Administrator from 192.168.167.26 

En el ejemplo, el script revelo que la cuenta de administrador se utilizo para clonar 
una maquina Virtual. Esta sugerencia se puede correlacionar con el registro de eventos 
de vCenter Server y aparecera alii tambien. Si no es asi, este es un fuerte indicador de 
un entorno comprometido. 


Dependiendo dei entorno de su sistema, las operaciones como 9 

- \ \ clonar y exportar maquinas virtuales pueden ser parte de las 

operaciones diarias. En ese caso, la secuencia de comandos anterior 
o sus variantes pueden usarse para detectar usuarios inusuales o IP i 

de origen que realizan estas operaciones. 

Se pueden usar busquedas y correlaciones similares para otros eventos de interes. 

La copia de los archivos dei almacen de datos o la exportacion de maquinas 
virtuales son candidatos prometedores. 

Busqueda de mal uso de recursos virtuales 

No es solo el atacante motivado lo que estamos buscando. Con la virtualization, 
tambien esta el administrador legitimo de la infraestructura Virtual que hace su 
vida mas facil doblando algunas regias. Ademas, un atacante puede usar el poder 
de la virtualization para remodelar la topologia de la infraestructura segun sus 
necesidades. En las siguientes sectiones, mostraremos algunos escenarios y 
metodos de deteccion. 

Deteccion de interfaces de red deshonestas 

La virtualization de red permite que las operaciones creen infraestructuras de red casi 
arbitrarias en una red fisica estatica. Esta capacidad a veces se denomina centro de datos 
como servicio (DCaaS). DCaaS permite a los clientes utilizar una porcion definida de un 
centro de datos fisico para definir centros de datos virtuales en el Software. 

Debido al acceso malitioso a esta capacidad o a un error humano, la 
configuracion de red resultante puede exponer los recursos internos a Internet, 
evitar los cortafuegos o permitir el acceso a servicios malitiosos. 
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Por lo tanto, vamos a mostrar una forma sencilla de obtener mediante 
programacion la configuracion de red de un entorno vSphere usando Python. 



Visualice redes virtuales 

La mayoria de los entornos de virtualizacion tienen capacidades 
incorporadas para visualizar la configuracion de la red Virtual. 
Por ejemplo, VMware vSphere puede crear una imagen de la 
topologia de red. En un analisis forense, esto puede servir como 
punto de partida y soporte, centrando el siguiente paso en los 
activos mas prometedores. 



DeveloperBox 


Janes Box 


- 4 - 

dvlnternallilet«vork 


kJJ 

EvesMachine 


IJj 

Firedjall 


4 

dvDMZ 


kJJ 

dmzBox 


Esta imagen se genero con el Software de cliente de Windows para VMware 
vCenter Server y muestra nuestra configuracion de prueba. Obviamente, 
EvesMachine no esta conectado correctamente, es decir, puede pasar por alto el 

Firewall. 
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Los Scripts de ejemplo de la comunidad para pyVmomi ya proporcionan un script para 
iterar sobre todas las interfaces de red, https : //github. com/vmware/pyvmomi - 
community-samples/blob/master/samples/getvnicinfo.py, y muestran las 
conexiones de las maquinas virtuales. Por lo tanto, modificamos este script para mostrar 
solo las maquinas virtuales que tienen conexiones de red multiples, de la siguiente manera: 

#!/usr/bin/env python 

from pyVim import connect 
from pyVmomi import vmodl 
from pyVmomi import vim 
import sys 

def generate_portgroup_info(content) : 

"""Enumerates all hypervisors to get 

network infrastructure information""" 
host_view = 

content.viewManager.CreateContainerView(content. rootFolder, 

[vim.HostSystem], 

True) 

hostlist = [host for host in host_view.view] 
host_view.Destroy() 

hostPgDict = {} 
for host in hostlist: 

pgs = host.config.network.portgroup 
hostPgDict[host] = pgs 

return (hostlist, hostPgDict) 

def get_vms(content, min_nics=l): 
vm view = 

content.viewManager.CreateContainerView(content. rootFolder, 

[vim.VirtualMachine], 

True) 

vms = [vm for vm in vm view.view] 
vm_view.Destroy() 

vm_with_nics = [] 
for vm in vms: 

num_nics = 0 

for dev in vm.config.hardware.device: 

# ignore non-network devices 

if not isinstance(dev, vim.vm.device.VirtualEthernetCard): 
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continue 

num_nics = num_nics + 1 
if num_nics >= min_nics: 

vm_with_nics.append(vm) 
break 

return vm_with_nics 

def print_vm_info(vm, hosts, host2portgroup, content): 
print "\n=== %s ===" % vm.name 

for dev in vm.config.hardware.device: 

if not isinstance(dev, vim.vm.device.VirtualEthernetCard): 
continue 


dev_backing = dev.backing 
if hasattr(dev_backing, 'port'): 

# NIC is connected to distributed vSwitch 
portGroupKey = dev.backing.port.portgroupKey 
dvsUuid = dev.backing.port.switchUuid 
try: 


dvs = content.dvSwitchManager.QueryDvsByUuid(dvsUuid) 
except: 

portGroup = 'ERROR: DVS not found!' 
vlanld = 'N/A' 
vSwitch = 'N/A' 
else: 

pgObj = dvs.LookupDvPortGroup(portGroupKey) 
portGroup = pgObj.config.name 
vlObj = pgObj.config.defaultPortConfig.vlan 
if hasattr(vlObj, 'pvlanld'): 

vlanld = str (pgObj.config.defaultPortConfig.vlan. 

pvlanld) 

else: 

vlanld = str (pgObj.config.defaultPortConfig.vlan. 

vlanld) 


vSwitch = str(dvs.name) 


else: 


# NIC is connected to simple vSwitch 
portGroup = dev.backing.network.name 
vmHost = vm.runtime.host 


# look up the port group from the 
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# matching host 
host_pos = hosts.index(vmHost) 
viewHost = hosts[host_pos] 
pgs = host2portgroup[viewHost] 

for p in pgs: 

if portgroup in p.key: 

vlanld = str (p.spec.vlanld) 
vSwitch = str(p.spec.vswitchName) 

if portGroup is None: 
portGroup = 'N/A' 

print '%s -> %s @ %s -> %s (VLAN %s)' % (dev.devicelnfo.label, 

dev.macAddress, 

vSwitch, 

portGroup, 

vlanld) 

def print_dual_homed_vms(Service) : 

"""Lists all Virtual machines with multiple 
NICs to different networks""" 

content = Service.RetrieveContent() 

hosts, host2portgroup = generate_portgroup_info(content) 
vms = get_vms(content, min_nics=2) 
for vm in vms: 

print_vm_info(vm, hosts, host2portgroup, content) 


if name_ == ' main ' : 

if len(sys.argv) < 5: 

print 'Usage: %s host user password port' % sys.argv[0] 
sys.exit (1) 

Service = connect.SmartConnect(host=sys.argv[1] , 

user=sys.argv[2] , 
pwd=sys.argv[3] , 
port=int(sys.argv[4])) 

print_dual_homed_vms(Service) 
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En primer lugar, este script itera sobre todos los hosts (hipervisor) para recopilar informacion 
sobre los conmutadores virtuales que estan presentes en cada sistema ESXi. Luego, itera sobre 
todas las maquinas virtuales para recopilar aquellas con mas de una tarjeta de red. Luego, la 
informacion sobre las tarjetas de red virtuales se combina con la informacion sobre los 
conmutadores virtuales para derivar la informacion sobre la conectividad. 

Aqui esta el resultado de muestra de nuestro entorno de laboratorio como se describio anteriormente: 

user@lab:~$ python listDualHomed.py 192.168.167.26 readonly 'mypwd' 443 
=== EvesMachine === 

NetWork adapter 1 -> 00:50:56:ab:04:38 @ dvSwitch -> 
dvInternalNetwork (VLAN 8) 

NetWork adapter 2 -> 00:50:56:ab:23:50 @ dvSwitch -> dvDMZ (VLAN 0) 


=== Firewall === 

NetWork adapter 1 -> 00:50:56:ab:12:e6 @ dvSwitch -> 
dvInternalNetwork (VLAN 8) 

NetWork adapter 2 -> 00:50:56:ab:4b:62 @ dvSwitch -> dvDMZ (VLAN 0) 

Nuestro script identifico correctamente los dos sistemas, EvesMachine y Firewall, 
conectados simultaneamente a diferentes redes. En este caso particular, ambos 
sistemas se pueden usar para conectar vlan 0 con vlan 8 en el mismo conmutador 
Virtual, dvSwitch. 

Deteccion de acceso directo al hardware 

Puede parecer un oximoron, pero la mayoria de las tecnicas de virtualizacion 
permiten el acceso directo al hardware. Las razones legitimas para permitir que los 
sistemas virtuales accedan directamente a una pieza de hardware sin tener que usar 
los servicios dei hipervisor son las siguientes: 

• Se supone que el hardware especial debe estar conectado a una maquina 
virtual: hardware especial como relojes de radio para servidores de tiempo 
Virtual o dongles que forman parte de un mecanismo de proteccion contra copia. 

• Uso temporal de medios fisicos en un sistema virtual: a veces, esta capacidad se 
usa para acceder a medios desde sistemas fisicos desde un entorno virtual, por 
ejemplo, para restaurar copias de seguridad de un medio fisico a un sistema 
virtual. En general, los sistemas de almacenamiento conectados a la red deberian 
preferirse a la conexion de medios fisicos a un sistema virtual. 

• Uso permanente de las unidades de un hipervisor desde una maquina virtual: 

esto puede ser util si el sistema virtual usa Software que se proporciona en 
medios fisicos y, por lo tanto, necesita acceso a una unidad fisica real para la 
instalacion y actualizaciones dei Software. Sin embargo, uno deberia considerar 
usar versiones descargadas o imagenes ISO en lugar de otorgar acceso directo al 
hardware dei hipervisor. 
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Como puede adivinar, de acuerdo con esta lista, el acceso directo al hardware es mas 
la excepcion que la regia en un centro de datos virtualizado moderno. Ademas, el 
acceso directo al hardware dei hipervisor rompe un principio fundamental de la 
virtualizacion. 


El acceso directo al hardware evita el mecanismo de 
seguridad dei entorno de virtualizacion, es decir, todo el 
hardware Virtual esta controlado por el hipervisor. En 
consecuencia, el acceso directo al hardware siempre plantea el 
riesgo de manipulacion de recursos dei hipervisor, perdida de 
datos e inestabilidades dei sistema. 



Los siguientes son algunos ejemplos dei hardware directamente conectado que 
probablemente sea malicioso: 

• Dispositivos de red (crear conexiones de red que son invisibles para 
el hipervisor) 

• Teclado, mouse, etc. (crear accesos a la consola que son invisibles 
para el hipervisor) 

• Particiones de disco de hipervisor 

Esto ultimo es especialmente peligroso. Si una maquina Virtual logra obtener acceso 
al disco raw de hipervisor, puede manipular el entorno de virtualizacion. Las 
consecuencias incluyen el control total sobre el entorno de virtualizacion junto con el 
acceso a todas las maquinas virtuales, todas las redes virtuales, la capacidad de crear 
nuevos recursos deshonestos y remodelar la topologia general de la red. 



Para VMware vSphere, el acceso directo al hardware se 
almacena en la configuracion de las maquinas virtuales. En 
consecuencia, la importacion de una maquina Virtual a partir 
de un origen desconocido o no confiable (en el formato nativo 
de vSphere) puede crear acceso de hardware no fiable. 


El siguiente script se conecta a una instanda de VMware vSphere y enumera 
todas las maquinas virtuales con acceso directo al hardware: 

#!/usr/bin/env python 

from pyVim import connect 
from pyVmomi import vmodl 
from pyVmomi import vim 
import re 
import sys 

def get_vms(content): 
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"""Returns a list of all Virtual machines.""" 
vm_view = content.viewManager.CreateContainerView(content. 
rootFolder, 

[vim. 

VirtualMachine], 

True) 

vms = [vm for vm in vm view.view] 
vm_view.Destroy() 
return vms 

def print_vm_hardware_access(vm): 
findings = [] 

for dev in vm.config.hardware.device: 

if isinstance(dev, vim.vm.device.VirtualUSB): 

findings.append('USB access to host device ' + dev. 
backing.deviceName) 

elif isinstance(dev, vim.vm.device.VirtualSerialPort): 

findings.append('Serial port access') 
elif isinstance(dev, vim.vm.device.VirtualCdrom): 
if not dev.backing is None: 

if 'vmfs/devices/cdrom' in dev.backing.deviceName: 
findings.append('Access to CD/DVD drive') 
elif isinstance(dev, vim.vm.device.VirtualDisk): 
if dev.backing is None or \ 

dev.backing.fileName is None or \ 

re.match(r'.*\.vmdk', dev.backing.fileName) is None: 
findings.append('Suspicious HDD configuration') 

if len(findings) > 0: 

print '=== %s hardware configuration findings ===' % vm.name 
for 1 in findings: 

print 1 
print "\n" 

def print_direct_hardware_access(content): 
vms = get_vms(content) 
for vm in vms: 

print_vm_hardware_access(vm) 


if name_ == ' main ' : 

if len(sys.argv) < 5: 

print 'Usage: %s host user password port' % sys.argv[0] 
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sys.exit(1) 

Service = connect.SmartConnect(host=sys.argv[1], 

user=sys.argv[2], 
pwd=sys.argv[3], 
port=int(sys.argv[4])) 


# access the inventory 

content = Service.RetrieveContent() 

print_direct_hardware_access(content) 

Este script esta muy ansioso, es decir, no comprueba si el dispositivo esta realmente en 
un estado conectado o si hay medios accesibles a traves dei dispositivo. Sin embargo, un 
resultado similar al siguiente requiere una inspeccion mas profunda: 

user@lab:~$ python listHardwareAccess.py 192.168.167.26 readonly pwd 443 

——— EvesMachine hardware configuration findings - 

Access to CD/DVD drive 
Serial port access 

USB access to host device path:2/0 version:2 

——— DeveloperBox hardware configuration findings - 

Access to CD/DVD drive 


=== dmzBox hardware configuration findings ——— 

Access to CD/DVD drive 

EvesMachine parece tener acceso directo a un dispositivo USB conectado a su sistema 
de hipervisor. Ademas, parece haber un enlace directo al puerto serie dei hipervisor. El 
acceso a la unidad de CD/DVD dei hipervisor no debe otorgarse en general. Sin 
embargo, para muchas instalaciones, las personas tienden a usar la unidad optica dei 
hipervisor para instalar o actualizar un Software. 



Extraiga la configuracion de hardware dei archivo VMX 

El uso de un script como el anterior requiere acceso al entorno 
Virtual. Por lo tanto, el proposito principal de tales Scripts es 
reducir el foco de la investigacion forense. Para evidencia y 
registro permanente, el directorio de las maquinas virtuales debe 
copiarse dei almacen de datos. Alii, el archivo VMX contiene 
todas las configuraciones de VM especificas, incluido el acceso al 
hardware. 
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En esta y en las secciones anteriores, la virtualizacion se considera una superficie 
de ataque adicional. En la siguiente seccion, describiremos como las tecnicas de 
virtualizacion pueden realmente respaldar una investigacion forense. 


Usar la virtualizacion como 
fuente de evidencia 

La virtualizacion no solo es peligrosa y desafiante en lo que respecta a las 
investigaciones forenses, tambien existe el potencial de utilizar la virtualizacion 
como una herramienta para reunir evidencia forense. En las siguientes secciones, 
vera varias fuentes que pueden conducir a la evidencia. 

Creacion de copias forenses de contenido de RAM 

Normalmente, la creacion de una copia dei contenido de RAM de un sistema requiere 
acceso al sistema de destino, un inicio de sesion, la instalacion de las herramientas 
necesarias y la copia de la descarga de RAM en un medio externo. Todos estos pasos 
son intrusivos, es decir, cambian el estado dei sistema y estan sujetos a la deteccion por 
parte dei atacante o su malware. Ademas, un atacante con privilegios administrativos 
puede ocultar partes de la memoria dei sistema de los volcados de memoria, por 
ejemplo, manipulando la asignacion de memoria y los algoritmos de proteccion. 

Para superar las desventajas de este metodo, la capa dei hipervisor se puede utilizar 
para obtener una copia completa y no alterada de la memoria de un sistema Virtual. El 
siguiente script se puede usar para crear una snapshot que incluya el contenido de 
RAM de una maquina Virtual: 

#!/usr/bin/env python 

from pyVim import connect 
from pyVmomi import vim 
from datetime import datetime 
import sys 

def make_snapshot(Service, vmname): 

"""Creates a snapshot of all Virtual machines with the given 


snap name 


'Memory Snapshot' 
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snap_desc = 'Snapshot for investigation taken at ' + datetime. 
now().isoformat() 

content = Service.RetrieveContent() 

vm_view = content.viewManager.CreateContainerView(content. 
rootFolder, 

[vim. 

VirtualMachine], 

True) 

vms = [vm for vm in vm_view.view if vm.name==vmname] 
vm_view.Destroy() 

for vm in vms: 

print 'Taking snapshot from VM UUID=%s' % vm.summary.config. 

uuid 

vm.CreateSnapshot_Task(name = snap_name, 

description = snap_desc, 

memory = True, 

quiesce=False) 

print "Done.\n" 


if name_ == ' main ' : 

if len(sys.argv) < 6: 

print 'Usage: %s host user password port vmname' % sys.argv[0] 
sys.exit (1) 

Service = connect.SmartConnect(host=sys.argv[1] , 

user=sys.argv[2], 
pwd=sys.argv[3] , 
port=int(sys.argv[4])) 


make_snapshot(Service, sys.argv[5]) 

Este script busca maquinas virtuales con el nombre especificado y crea una 
snapshot. El parametro resaltado hace que vSphere escriba los contenidos de 
RAM de la maquina Virtual en el almacen de datos junto con los demas archivos 
de datos de snapshot. 

Estos volcados de RAM residen en el directorio de la maquina Virtual. El script de 
enumeracion en este capitulo muestra la ruta a este directorio. Ademas, vSphere 
Client permite explorar y descargar el almacen de datos de la maquina Virtual. 

Los contenidos de RAM se almacenan en un archivo con la extension . vmem, por 
ejemplo, EvesMachine-Snapshot2 .vmem. 
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Uso de snapshots como imagenes de disco 

Para los sistemas tisicos, la creacion de una imagen de disco forense generalmente 
incorpora desconectar el sistema, apagarlo, extraer el disco duro y copiarlo. 
Obviamente, el sistema no esta operativo durante este procedimiento y, como 
consecuencia, los propietarios de negocios son muy reacios a conceder estos tiempos 
de inactividad debido a una vaga sospecha de un posible compromiso. 

Por otro lado, la creacion de una snapshot de una maquina Virtual no genera 
basicamente tiempo de inactividad, pero el resultado es una imagen de disco forense 
dei activo Virtual. 

[Siempre verifica si un sistema es virtual! 

Como la creacion de datos forenses es mucho mas facil para los 
sistemas virtuales que para los sistemas tisicos, uno de los primeros 
pasos en una investigacion forense deberia ser verificar si el sistema 
objetivo es virtual. J 

La creacion de la snapshot es igual al script en la seccion anterior. Para VMware 
vSphere 5, todos los archivos deben copiarse desde el directorio dei almacen de datos 
dei hipervisor para obtener un volcado completo de los discos duros. Si el sistema 
virtual aun se esta ejecutando, es posible que algunos archivos no se copien ya que el 
hipervisor no permitira el acceso de lectura mientras estos archivos esten en uso. 
Normalmente, esto no es un problema ya que la snapshot solo necesita estos archivos, 
es decir, todos los cambios desde la creacion de la snapshot se almacenan en archivos 
especiales de snapshot. 

En VMware vSphere 6, el mecanismo de snapshot ha sido cambiado. En lugar de 
escribir cambios de disco en los archivos de snapshot, los cambios realizados 
despues de la creacion de la snapshot se escriben directamente en los archivos que 
representan los discos duros virtuales. Los archivos de snapshot se utilizan para 
preservar el contenido original de las unidades de disco (comportamiento de 
copiado sobre escritura). 

Por lo tanto, los archivos que se copiaran de un entorno de VMware vSphere 6 
contendran todas las entradas dei directorio de la maquina virtual. 

Para el analisis forense, las imagenes de disco capturadas se pueden conectar a 
una estacion de trabajo forense virtual. Alii, estas imagenes se pueden tratar 
como cualquier otro disco duro tisico. Por supuesto, las copias originales deben 
permanecer intactas para proporcionar solidez forense. 
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Captura de trafico de red 


El entorno de virtualization no solo representa las maquinas virtuales y la tarjeta de 
interfaz de red (NIC), sino tambien los dispositivos de red Virtual que se necesitan para 
interconectar estos sistemas. Esta combinacion se puede utilizar para recopilar todo el 
trafico de red de una red Virtual al agregar un puerto de monitoreo al conmutador Virtual y 
conectar un sistema a el, que puede capturar todo el trafico de la red. 



Si un sistema Virtual en VMware vSphere puede cambiar una 
NIC a un modo promiscuo, esto convertira automaticamente el 
puerto dei conmutador correspondiente al modo de monitoreo. 


Ademas, las editiones empresariales de VMware vSphere proporcionan una 
version avanzada de un conmutador Virtual denominado vSphere Distributed 
Switch (VDS). Este conmutador puede actuar mas como un conmutador flsico y 
proporcionar la duplicacion de los puertos seleccionados a un puerto definido para 
el analisis dei trafico. Ademas, este conmutador tambien puede proporcionar 
registros de NetFlow a un puerto definido. 

Para el conmutador Virtual estandar, se requieren los siguientes pasos para 
monitorear el trafico de la red: 

• Cree un nuevo grupo de puertos en este interruptor para monitorear. Si 
bien esto no es estrictamente obligatorio, es muy recomendable. Sin un 
grupo de puertos dedicado para monitorear, todos los sistemas virtuales 
en el conmutador podrian monitorear todo el trafico dei conmutador. 

• Modifique las configurationes de Seguridad de este grupo de puertos y 
cambie el modo Promiscuo a Aceptar. 

• Configure la tarjeta de red dei sistema de captura Virtual en el nuevo grupo de 
puertos. Este sistema ahora puede capturar todo el trafico de red de este interruptor. 

Los pasos exactos pueden diferir entre los tipos de conmutadores virtuales y sus 
versiones. Sin embargo, el mensaje Central es que los entornos de virtualization 
pueden facilitar esta tarea de captura de trafico de red. Ademas, los conmutadores 
flsicos y virtuales tienen comportamientos diferentes, por ejemplo, pueden 
reaccionar a los cambios de configuracion de las tarjetas de red conectadas. 

En el siguiente capitulo, veremos como generar y analizar este trafico de 
red capturado. 
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Resumen 

En este capitulo, describimos como la virtualizacion cambia el panorama no solo 
para las operaciones de IT, sino tambien para el atacante y el especialista forense. 

Los sistemas se pueden crear, reformar y copiar por buenas y malas razones. 

Proporcionamos ejemplos de como detectar comportamientos o configuraciones 
posiblemente maliciosos en el entorno de virtualizacion de vSphere. Ademas, 
demostramos como la virtualizacion puede ser beneficiosa para obtener volcados de 
RAM sin modificar de los sistemas que deberian analizarse. En el siguiente capitulo, 
vera ejemplos sobre como analizar estos volcados de RAM. 

Con este conocimiento, ahora esta preparado para analizar y utilizar 
entornos virtuales en sus analisis forenses. 
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para forense movil 

Mientras que el analisis forense dei hardware estandar de la computadora, como 
los discos duros, se ha convertido en una disciplina estable con mucho trabajo de 
referencia, como el libro File System Forensic Analysis, por Brian Carrier, 
Addison-Wesley Professional y nuestros capitulos anteriores, todavia hay 
mucho debate sobre las tecnicas para analizar hardware no estandar o evidencia 
transitoria. A pesar de su creciente papel en las investigaciones digitales, los 
telefonos inteligentes aun no se consideran estandar debido a su heterogeneidad. 
En todas las investigaciones, es necesario seguir los principios forenses basicos. Los 
dos principios principales de las investigaciones forenses son los siguientes: 

• Se debe tener mucho cuidado para que la evidencia sea manipulada o 
modificada lo menos posible. 

• El curso de una investigacion digital debe ser comprensible y estar abierto 
al escrutinio. En el mejor de los casos, los resultados de la investigacion 
deben ser reproducibles por investigadores independientes. 

El primer principio, especialmente, es un desafio en el caso de los telefonos 
inteligentes, ya que la mayoria de ellos emplea sistemas operativos especificos 
y metodos de proteccion de hardware que impiden el acceso irrestricto a los 
datos en el sistema. 
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La preservacion de datos de discos duros es, en la mayorfa de los casos, un procedimiento 
simple y bien conocido. Un investigador saca el disco duro de la computadora o 
computadora portatil, lo conecta a su estacion de trabajo con la ayuda de un bloqueador de 
escritura (por ejemplo, Tableau TK35) y comienza a analizarlo con soluciones de Software 
conocidas y certificadas. AI comparar esto con el mundo de los telefonos inteligentes, queda 
claro que no existe tal procedimiento. Casi todos los telefonos inteligentes tienen su propia 
manera de construir su almacenamiento y continuar con esto, para cada telefono inteligente, 
el investigador necesita su propia manera de obtener el volcado dei almacenamiento. Si bien 
es muy dificil obtener los datos de un telefono inteligente, se pueden obtener muchos mas 
datos con referencia a la diversidad de los datos. Los telefonos inteligentes almacenan, 
ademas de los datos habituales (por ejemplo, imagenes y documentos), datos tales como las 
coordenadas GPS y la posicion de una celda movil a la que el telefono inteligente estaba 
conectado antes de que se apagara. 

Teniendo en cuenta las oportunidades resultantes, resulta que vale la pena el gasto 
extra para un investigador. 

En este capitulo, cubriremos los siguientes ternas: 

• El modelo de investigacion de Eoghan Casey adoptado por los telefonos inteligentes 

• El analisis de los telefonos inteligentes Android (tanto manuales como 
automaticos a traves de Android Data Extractor Lite (ADEL)) 

• El analisis de los telefonos inteligentes con iOS 

El modelo de investigacion para telefonos inteligentes 

El Modelo de Proceso de Investigacion de Eoghan Casey, tambien conocido como 
el Modelo de Escalera, proporciona una guia practica y metodica paso a paso para 
realizar una investigacion digital efectiva. Este modelo se representa como una 
secuencia de escaleras ascendentes que comienza en la alerta de incidente o 
acusacion y terminan en el testimonio. Los pasos deben ser lo mas genericos posible. 

Este modelo intenta fusionar los deberes policiales y las tareas de los expertos 
forenses. Los siguientes puntos explican cada paso dei Modelo de Proceso de 
Investigacion y la diferencia entre tratar con telefonos inteligentes y computadoras: 

• Alertas de incidentes o acusaciones: la acusacion es la senal de inicio 
para todo el proceso. En esta fase, se evaluan las fuentes y se solicitan 
consultas detalladas. 
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• Evaluacion dei valor: en el ambito de la evaluacion dei valor, el interes dei 
enjuiciamiento se compara con los costos en que se incurriria para enjuiciar la accion 
penal. Para las empresas, esto a menudo resulta en una decision contra el enjuiciamiento 
(para incidentes menores, al menos). Las ventajas de un procesamiento radican en la 
posible compensacion, la mejora de la propia seguridad y ciertos efectos de disuasion. 
Las desventajas de un enjuiciamiento son la necesidad de recursos, el posible tiempo de 
inactividad durante el cual los sistemas investigados no se pueden usar 
productivamente, y la mayoria de las veces un efecto de dispersion publica negativa. 

• Incidentes o protocolos de la escena dei crimen: en la criminalistica 
clasica, a menudo se exige que la escena dei crimen este 
espaciosamente cerrada. Eoghan Casey expresa esto como lo siguiente: 

"Congelar" la evidencia en su lugar y proporcionar "verdad 
jundamental para todas las actividades que siguen". 

Para diferentes tipos de rastros digitales, se debe verificar de forma 
individual como se define exactamente el proceso de congelacion. En 
general, es cierto que el riesgo de cambiar las huellas debe minimizarse. 

Para los telefonos inteligentes, esto significa que deben colocarse en una 
bolsa de Faraday que esta conectada a una fuente de alimentacion externa. 

• Identificacion o incautacion: durante una confiscacion tradicional, todos los 
objetos y sujetos que podrian actuar como evidencia son recogidos. Aqui, es 
importante que no se realicen cambios en la evidencia. Ademas, el ambiente 
de evidencia podria ser de gran relevancia. Simultaneamente a la incautacion, 
comienza la cadena de custodia. Un documento recomendado sobre la 
incautacion es el folleto, Investigacion electronica de la escena dei 
crimen: una gula para los primeros respondedores , publicado por el 
Departamento de Justicia de los Estados Unidos. Este folleto proporciona 
consejos precisos y detallados para el personal no tecnico. Otra buena fuente 
es el documento, Busqueda y decomiso de computadoras y Obtencion 
de pruebas electronicas en investigaciones penales, tambien 
publicado por el Departamento de Justicia de los Estados Unidos. 

• Preservacion: Al asegurar la evidencia, se debe garantizar que no se 
modifiquen. Esta es la razon por la cual toda la evidencia esta documentada, 
fotografiada, sellada y luego encerrada. En el caso de la evidencia digital, 
esto significa que primero se crean copias de la evidencia; la investigacion 
adicional se hace solo en las copias. Para probar la autenticidad de las 
copias de la evidencia, se utilizan funciones hash criptograficas. En la 
mayoria de los casos, esta es la parte mas dificil en el analisis forense de 
telefonos moviles debido a que la creacion de copias uno a uno no es posible 
para algunos tipos de telefonos. Mostraremos, en la siguiente seccion, como 
crear copias de seguridad que se pueden usar durante la investigacion. 
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• Recuperacion: Eoghan Casey describe la recuperacion como si arro j ara una 
red grande. En particular, esta fase incluye la recuperacion de evidencia que ha 
sido eliminada, escondida, enmascarada o hecha inaccesible de cualquier otra 
manera. Se recomienda que haga uso de sinergias con otras pruebas. Por ejemplo, 
es razonable comprobar si se ha encontrado una nota con contrasenas en la escena 
dei crimen en caso de que sea necesario leer los datos encriptados. 

• Cosecha: Durante el analisis de la evidencia, una organizacion bien 
estructurada con una gran cantidad de datos que se necesitan. Por este motivo, 
primero se deben investigar los metadatos en lugar de los datos reales. Por 
ejemplo, los datos se pueden agrupar segun el tipo de archivo o el tiempo de 
acceso. Esto lleva directamente a la siguiente fase, la reduccion. 

• Reduccion: la tarea de reduccion consiste en eliminar datos irrelevantes. Uno 
puede usar los metadatos por esta razon, tambien. Por ejemplo, los datos se 
pueden reducir de acuerdo con el tipo de datos. Un escenario adecuado seria 
reducir todos los datos a datos de imagen, solo si la acusacion permite este 
procedimiento. El resultado de esta fase es, segun Eoghan Casey: 

El conjunto mas pequeno de Information digital que tiene el 
mayor potencial para contener datos de valor probatorio. 

Esto significa encontrar la menor cantidad de datos que tenga la mayor 
probabilidad de ser relevante y probatorio. En este contexto, las bases de 
datos hash de archivos conocidos, como The National Software Reference 
Library (NIST), son utiles para excluir archivos ya conocidos (describimos el 
uso de esta biblioteca en el Capitulo 2, Algoritmos forenses). 

• Organizacion y busqueda: los aspectos de la organizacion estan 
estructurando y habilitando datos para escanear. Por lo tanto, a menudo se 
crean indices y resumenes o se ordenan los archivos en directorios 
significativos. Esto simplifica la referencia de los datos en los siguientes pasos. 

• Analisis: esta fase incluye el analisis detallado sobre el contenido dei archivo. 
Entre otros, se deben establecer conexiones entre los datos y las personas para 
determinar la persona responsable. Ademas, la evaluacion dei contenido y el 
contexto se realiza de acuerdo con los medios, la motivacion y la oportunidad. 

En este paso, los experimentos son utiles para determinar el comportamiento 
no documentado y desarrollar nuevos metodos. Todos los resultados deben 
ser probados y deben ser verificables con la metodologia cientifica. 

• Informes: el informe no solo presenta los resultados, sino que tambien 
demuestra como se ha llegado a los resultados establecidos. Para esto, todas 
las normas y estandares considerados deben estar documentados. Ademas, 
todas las conclusiones extraidas deben estar justificadas y los modelos de 
explicacion alternativa deben discutirse. 
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• Persuasion y testimonio: Finalmente, se trata dei testimonio de una autoridad 
sobre el tema en la corte. EI aspecto mas importante es la confiabilidad de la 
autoridad. Una audiencia contraria a la tecnologla o analogias diflciles, por 
ejemplo dei abogado defensor, pueden ser problematicas. 

AI observar el proceso deserito anteriormente, uno puede ver solo pequenos cambios 
cuando se trata de telefonos inteligentes a diferencia de otros tipos de pruebas. Sin 
embargo, es muy importante que un investigador comprenda en que pasos debe tener 
especial cuidado. 

Android 

El primer sistema operativo movil que examinaremos con la ayuda de Python es 
Android. En la primera subseccion, demostraremos como examinar manualmente el 
telefono inteligente, seguido de un enfoque automatico usando ADEL. Por ultimo, 
demostraremos como combinar los datos dei analisis para crear perfiles de movimiento. 

Examen manual 

El primer paso es obtener acceso de root al telefono inteligente. Esto es necesario para 
eludir las protecciones internas dei sistema y obtener acceso a todos los datos. Obtener 
acceso root es diferente para la mayorla de los telefonos y depende en gran medida de 
la version dei sistema operativo. La mejor manera es crear su propia imagen de 
recuperacion y arrancar el telefono a traves dei modo de recuperacion incorporado. 

Despues de obtener el acceso root, el siguiente paso es intentar que la pantalla se 
bloquee en texto sin formato ya que este secret se usa a menudo para diferentes 
protecciones (por ejemplo, el bloqueo de pantalla se puede usar como contrasena de 
una aplicacion en el telefono). Se puede romper el bloqueo de pantalla para un PIN o 
contrasena con la siguiente secuencia de comandos: 

import os, sys, subprocess, binascii, struet 
import sqlite3 as lite 

def get_shalhash(backup_dir): 


# dumping the password/pin from the device 
print "Dumping PIN/Password hash ..." 
password = subprocess.Popen(['adb', 'pull', 

'/data/system/ password.key', backup_dir], 

stdout=subprocess.PIPE, stdin=subprocess.PIPE, 
stderr=subprocess.PIPE) 
password.wait () 

# cutting the HASH within password.key 
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shalhash = open(backup_dir + '/password.key', 'r') .readline() [:4 0] 

print "HASH: \033[0;32m" + shalhash + "\033[m" 

return shalhash 

def get_salt(backup_dir): 

# dumping the System DB containing the SALT 
print "Dumping locksettings.db ..." 

saltdb = subprocess.Popen(['adb', 'pull', '/data/System/ 
locksettings.db', backup_dir], 

stdout=subprocess.PIPE, stdin=subprocess.PIPE, 
stderr=subprocess.PIPE) 
saltdb.wait() 

saltdb2 = subprocess.Popen(['adb', 'pull', '/data/system/ 
locksettings.db-wal', backup_dir] , 

stdout=subprocess.PIPE, stdin=subprocess.PIPE, 
stderr=subprocess.PIPE) 
saltdb2.wait() 

saltdb3 = subprocess.Popen(['adb', 'pull', '/data/system/ 
locksettings.db-shm', backup_dir] , 

stdout=subprocess.PIPE, stdin=subprocess.PIPE, 
stderr=subprocess.PIPE) 
saltdb3.wait() 

# extract the SALT 

con = lite.connect(backup_dir + '/locksettings.db') 
cur = con.cursor () 

cur.execute("SELECT value FROM locksettings WHERE 
name='lockscreen.password_salt'") 
salt = cur.fetchone()[0] 
con.close() 

# convert SALT to Hex 

returnedsalt = binascii.hexlify(struet.pack('>q', int(salt) )) 
print "SALT: \033[0;32m" + returnedsalt + "\033[m" 

return returnedsalt 


def write_crack(salt, shalhash, backup_dir): 

crack = open(backup_dir + '/crack.hash', 'a+') 

# write HASH and SALT to cracking file 
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hash_salt = shalhash + ':' + salt 
crack.write(hash_salt) 
crack.close() 


if name_ == ' main ': 

# check if device is connected and adb is running as root 

if subprocess.Popen(['adb', 'get-state'], 

stdout=subprocess.PIPE). communicate(0)[0].split("\n")[0] == 

"unknown": 

print "no device connected - exiting..." 
sys.exit(2) 

# starting to create the output directory and the crack file used 
for hashcat 

backup_dir = sys.argv[l] 
try: 

os . stat(backup_dir) 
except: 

os.mkdir(backup_dir) 

shalhash = get_shalhash(backup_dir) 
salt = get_salt(backup_dir) 
write_crack(salt, shalhash, backup_dir) 

Este script genera un archivo llamado crack. hash que se puede usar para alimentar 
a hashcat para forzar el bloqueo de pantalla. Si el propietario dei telefono inteligente 
ha utilizado un PIN de 4 digitos, el comando para ejecutar hashcat es el siguiente: 

user@lab:~$ ./hashcat -a 3 -m 110 out/crack.hash -1 ?d ?1?1?1?1 
Initializing hashcat vO.50 with 4 threads and 32mb segment- 
size.. . 


Added hashes from file crack.hash: 1 (1 salts) 
Activating quick-digest mode for single-hash with salt 


c87226fed37977772be870d722c449f915844922:256c05b54b73308b:0420 


All hashes have been recovered 

Input.Mode: Mask (?1?1?1?1) [4] 

Index.: 0/1 (segment), 10000 (words) , 0 (bytes) 
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Recovered 
Speed/sec 
Progress. 
Running.. 
Estimated 


1/1 hashes, 1/1 salts 
- plains, 7.71k words 
7744/10000 (77.44%) 
00 : 00 : 00:01 


Started: Sat Jul 20 17:14:52 2015 
Stopped: Sat Jul 20 17:14:53 2015 

AI mirar la linea marcada en la salida, puede ver el hash sha256 seguido de la salt y 
el PIN de fuerza bruta que se utiliza para desbloquear la pantalla. 

Si el usuario dei telefono inteligente ha usado un gesto para desbloquear el telefono 
inteligente, puede usar una tabla rainbow pregenerada y el siguiente script: 

import hashlib, sqlite3, array, datetime 
from binascii import hexlify 

SQLITE^DB = "GestureRainbowTable.db" 

def crack(backup_dir): 

# dumping the System file containing the hash 
print "Dumping gesture.key ..." 

saltdb = subprocess.Popen(['adb', 'pull', 

'/data/system/gesture. key', backup_dir], 

stdout=subprocess.PIPE, stdin=subprocess.PIPE, 
stderr=subprocess.PIPE) 

gesturehash = open (backup_dir + "/gesture.key", 

"rb").readline() lookuphash = hexlify(gesturehash).decode() 
print "HASH: \033[0;32m" + lookuphash + "\033[m" 

conn = sqlite3.connect(SQLITE_DB) 
cur = conn.cursor() 

cur.execute("SELECT pattern FROM RainbowTable WHERE hash = ?", 
(lookuphash,)) 

gesture = cur.fetchone()[0] 
return gesture 
if name == ' main ' : 


# check if device is connected and adb is running as root 
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if subprocess.Popen(['adb', 'get-state'], 

stdout=subprocess.PIPE). communicate(0)[0].split("\n")[0] == 

"unknown": 

print "no device connected - exiting..." 
sys.exit(2) 

# starting to create the output directory and the crack file used 
for hashcat 

backup_dir = sys.argv[l] 
try: 

os. stat (backup_dir) 
except: 

os.mkdir(backup_dir) 
gesture = crack(backup_dir) 

print "screenlock gesture: \033[0;32m" + gesture + "\033[m"" 

Lo siguiente que podria ser muy importante al buscar dispositivos potencialmente 
infectados es una lista de aplicaciones instaladas y sus hashes para verificarlos 
contra AndroTotal o Mobile-Sandbox. Esto se puede hacer con el siguiente script: 

import os, sys, subprocess, hashlib 


def get_apps(): 

# dumping the list of installed apps from the device 
print "Dumping apps meta data ..." 

meta = subprocess.Popen(['adb', 'shell', 'ls', ' —1', 

'/data/app'], stdout=subprocess.PIPE, stdin=subprocess.PIPE, 
stderr=subprocess.PIPE) 
meta.wait() 

apps = [] 
while True: 

line = meta.stdout.readline() 
if line != '': 

name = line.split(' ') [-1] .rstrip() 
date = line.split(' ')[-3] 
time = line.split(' ')[-2] 
if name.split('.')[-1] == 'apk': 

app = [name, date, time] 
else: 
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continue 

else: 

break 

apps.append(app) 
return apps 


def dump_apps(apps, backup_dir): 

# dumping the apps from the device 
print "Dumping the apps ..." 

for app in apps: 
app = app[0] 

subprocess.Popen(['adb', 'pull', '/data/app/' + app, backup 

dir] , 

stdout=subprocess.PIPE, stdin=subprocess.PIPE, 
stderr=subprocess.PIPE) 


def get_hashes(apps, backup_dir): 

# calculating the hashes 

print "Calculating the sha256 hashes ..." 

meta = [] 

for app in apps: 

sha256 = hashlib.sha256(open(backup_dir + '/' + app[0], 'rb')• 

read()).hexdigest() 

app.append(sha2 5 6) 
meta.append(app) 

return meta 


if name_ == ' main ': 

# check if device is connected and adb is running as root 

if subprocess.Popen(['adb', 'get-state'], stdout=subprocess.PIPE). 

communicate(0)[0].split("\n")[0] == "unknown": 

print "no device connected - exiting..." 
sys.exit(2) 

# starting to create the output directory 
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backup_dir = sys.argv[l] 
try: 

os.stat(backup_dir) 
except: 

os.mkdir(backup_dir) 

apps = get_apps() 

dump_apps(apps, backup_dir) 

meta = get_hashes(apps, backup_dir) 

# printing the list of installed apps 
print 'Installed apps:' 
for app in meta: 

print "\033[0;32m" + ' '.join(app) + "\033[m" 

Despues de ejecutar el anterior script, obtendra el siguiente resultado, incluidos los 
metadatos importantes: 

user@lab:~$ ./get_installed_apps.py out 


Dumping apps meta data ... 

Dumping the apps ... 

Calculating the sha256 hashes ... 


Installed apps: 

com.android.SSLTrustKiller-1.apk 2015-05-18 17:11 
52b4d6al888a6514b62f6607cebf8c2c2aa4e4857319ec67b24be601db5243fb 

com.android.chrome-2.apk 2015-06-16 20:50 

191cd720626df38eaedf3301826e72330493cdeb8c45da4e309939cfe5633d61 
com.android.vending-1.apk 2015-07-25 12:05 

7be9f8f99e8cla6c3beledb01d84abal4619e3c67cl4856755523413ba8e2d98 

com.google.android.GoogleCamera-2.apk 2015-06-16 20:49 
6936f3cl7948c7 67550c206ffOaeOf44flf4da0fcb85125da722e0c709787894 

com.google.android.apps.authenticator2-l.apk 2015-06-05 10:14 
Ilbcfcflc853bleb567c9453507c3413b09ald70fd3085013f4a091719560ab6 
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Con la ayuda de esta informacion, puede verificar las aplicaciones contra los servicios 
en linea para saber si son seguros de usar o potencialmente maliciosos. Si no desea 
enviarlos, puede usar el script apk_analyzer. py en combinacion con Androguard 
para realizar un analisis rapido que a menudo puede revelar informacion importante. 

Despues de obtener una lista de todas las aplicaciones instaladas y verificar que no 
tengan un comportamiento malitioso, tambien puede ser muy util obtener 
informacion sobre todas las particiones y puntos de montaje dei dispositivo. Esto 
se puede lograr con el siguiente script: 

import sys, subprocess 


def get_partition_info(): 

# dumping the list of installed apps from the device 
print "Dumping partition information ..." 

partitions = subprocess.Popen(['adb', 'shell', 'mount'], 
stdout=subprocess.PIPE, stdin=subprocess.PIPE, 
stderr=subprocess.PIPE) 
partitions.wait () 

while True: 

line = partitions.stdout.readline().rstrip() 
if line != '': 

print "\033[0;32m" + line + "\033[m" 
else: 

break 


if name_ == ' main ' : 

# check if device is connected and adb is running as root 
if subprocess.Popen(['adb', 'get-state'], 

stdout=subprocess.PIPE). communicate(0)[0].split("\n")[0] == 
"unknown": 

print "no device connected - exiting..." 
sys.exit(2) 

get_partition_info() 
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La salida de un telefono rooteado podria verse asf: 

user@lab:~$ ./get_partitions.py 


Dumping partition information ... 
rootfs / rootfs rw,relatime 0 0 

tmpfs /dev tmpfs rw,seclabel,nosuid,relatime,mode=755 0 0 

devpts /dev/pts devpts rw,seclabel,relatime,mode=600 0 0 

proc /proc proc rw,relatime 0 0 

sysfs /sys sysfs rw,seclabel,relatime 0 0 

selinuxfs /sys/fs/selinux selinuxfs rw,relatime 0 0 

debugfs /sys/kernel/debug debugfs rw,relatime 0 0 

none /acct cgroup rw,relatime,cpuacct 0 0 

none /sys/fs/cgroup tmpfs rw,seclabel,relatime,mode=750,gid=1000 0 0 

tmpfs /mnt/asec tmpfs rw,seclabel,relatime,mode=755,gid=1000 0 0 

tmpfs /mnt/obb tmpfs rw,seclabel,relatime,mode=755,gid=1000 0 0 

none /dev/cpuctl cgroup rw,relatime,cpu 0 0 

/dev/block/platform/msm_sdcc.1/by-name/system /system ext4 
ro,seclabel,re latime,data=ordered 0 0 

/dev/block/platform/msm_sdcc.1/by-name/userdata /data ext4 rw 
,seclabel,nosuid,nodev,noatime,nomblk_io_submit,noauto_da_ 
alloc,errors=panic,data=ordered 0 0 

/dev/block/platform/msm_sdcc.1/by-name/cache /cache ext4 rw 
,seclabel,nosuid,nodev,noatime,nomblk_io_submit,noauto_da_ 
alloc,errors=panic,data=ordered 0 0 

/dev/block/platform/msm_sdcc.1/by-name/persist /persist ext4 

rw,seclabel, 

nosuid,nodev,relatime,nomblk_io_submit,nodelalloc,errors=panic,data=orde 
r ed 0 0 

/dev/block/platform/msm_sdcc.1/by-name/modem /firmware vfat 
ro,relatime,u 

id=1000,gid=1000,fmask=0337,dmask=0227,codepage=cp437,iocharset=iso8859- 
1,shortname=lower,errors=remount-ro 0 0 

/dev/fuse /mnt/shell/emulated fuse 
rw,nosuid,nodev,relatime,user_ 

id=1023,group_id=1023,default_permissions,allow_other 0 0 
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AI final de esta seccion, le mostraremos como obtener mas detalles sobre el uso dei 
telefono inteligente basado en Android. En el siguiente ejemplo, usaremos la base de 
datos de contactos que tambien almacena el historial de llamadas telefonicas. Este 
ejemplo se puede adoptar facilmente para obtener entradas de calendario o contenido 
de cualquier otra base de datos de una aplicacion que este instalada en el dispositivo: 

import os, sys, subprocess 
import sqlite3 as lite 

from prettytable import from_db_cursor 


def dump_database(backup_dir): 

# dumping the password/pin from the device 
print "Dumping contacts database ..." 

contactsDB = subprocess.Popen(['adb', 'pull', 

'/data/data/com. 

android.providers.contacts/databases/contacts2.db', 
backup_dir], stdout=subprocess.PIPE, 
stdin=subprocess.PIPE, stderr=subprocess.PIPE) 
contactsDB.wait () 


def get_content(backup_dir): 

# getting the content from the contacts database 
con = lite.connect(backup_dir + '/contacts2.db') 
cur = con.cursor() 

cur.execute("SELECT contacts._id AS _id,contacts.custom_ringtone 

AS custom_ringtone, name_raw_contact.display_name_source AS display_ 
name_source, name_raw_contact.display_name AS display_name, name_ 
raw_contact.display_name_alt AS display_name_alt, name_raw_contact. 
phonetic_name AS phonetic_name, name_raw_contact.phonetic_name_style 
AS phonetic_name_style, name_raw_contact.sort_key AS sort_key, name_ 
raw_contact.phonebook_label AS phonebook_label, name_raw_contact. 
phonebook_bucket AS phonebook_bucket, name_raw_contact.sort_key_alt 
AS sort_key_alt, name_raw_contact.phonebook_label_alt AS phonebook_ 
label_alt, name_raw_contact.phonebook_bucket_alt AS phonebook_ 
bucket_alt, has_phone_number, name_raw_contact_id, lookup, photo_id, 
photo_file_id, CAST(EXISTS (SELECT _id FROM visible_contacts WHERE 
contacts._id=visible_contacts._id) AS INTEGER) AS in_visible_group, 
status_update_id, contacts.contact_last_updated_timestamp, contacts. 
last_time_contacted AS last_time_contacted, contacts.send_to_voicemail 
AS send_to_voicemail, contacts.starred AS starred, contacts.pinned 
AS pinned, contacts.times_contacted AS times_contacted, (CASE WHEN 
photo_file_id IS NULL THEN (CASE WHEN photo_id IS NULL OR photo_id=0 
THEN NULL ELSE 1 content://cora.android.contacts/contacts/'||contacts._ 
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id|| '/photo' END) ELSE 'content://com.android.contacts/display_ 
photo/'I|photo_file_id END) AS photo_uri, (CASE WHEN photo_id IS 
NULL OR photo_id=0 THEN NULL ELSE 'content://com.android.contacts/ 
contacts/'||contacts._idII '/photo' END) AS photo_thumb_uri, 0 AS 
is_user_profile FROM contacts JOIN raw_contacts AS name__raw_contact 
ON(name_raw_contact_id=name_raw_contact._id)") 
pt = from_db_cursor(cur) 
con.close() 

print pt 


if name_ == ' main ': 

# check if device is connected and adb is running as root 

if subprocess.Popen(['adb', 'get-state'], stdout=subprocess.PIPE). 

communicate(0)[0].split("\n")[0] == "unknown": 

print "no device connected - exiting..." 
sys.exit(2) 

# starting to create the output directory 
backup_dir = sys.argv[l] 

try: 

os. stat (backup_dir) 
except: 

os.mkdir(backup_dir) 

dump_database(backup_dir) 
get_content(backup_dir) 

Despues de haber visto como realizar manualmente un analisis de un telefono 
inteligente, le mostraremos, en la proxima seccion, como realizar las mismas 
acciones que estan automatizadas con la ayuda de ADEL. 
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Examen automatizado con Ia ayuda de ADEL 

Hemos desarrollado una herramienta llamada ADEL. Inicialmente se desarrollo para las 
versiones 2.x de Andro id, pero se actualizo para adaptarse a las necesidades de analisis de 
telefonos inteligentes con Android 4.x. Esta herramienta puede volcar automaticamente los 
archivos de base de datos SQLite seleccionados de dispositivos Android y extraer los 
contenidos que estan almacenados en los archivos vados. Como una opcion adicional, 

ADEL puede analizar bases de datos que se descargaron manualmente de antemano. Esta 
opcion se implemento para admitir telefonos inteligentes en los que ADEL no puede acceder 
al sistema de archivos dei dispositivo debido a caracterfsticas de seguridad como los 
cargadores de arranque bloqueados. En las siguientes sectiones, describimos las tareas 
principales de ADEL y los pasos que la herramienta realmente realiza. 

Idea detras dei sistema 

Durante el desarrollo de ADEL, tomamos en cuenta principalmente las 
siguientes pautas de disefto: 

• Principios forenses: ADEL intenta tratar los datos de una manera forense 
correcta. Este objetivo se logra por el hecho de que las actividades no se 
realizan directamente en el telefono, sino en una copia de las bases de 
datos. Este procedimiento asegura que los datos no sean modificados por 
los usuarios de Adel o por un sistema operativo comprometido. Para 
proporcionar la prueba de la correccion forense de ADEL, los valores hash 
se calculan antes y despues de cada analisis para garantizar que los datos 
objeto de dumping no se hayan modificado durante el analisis. 

• Extensibilidad: ADEL ha sido construido modularmente y contiene dos 
modulos separados: el analisis y el modulo de informe. Existen interfaces 
predefinidas entre estos modulos y ambos se pueden modificar facilmente 
con la ayuda de funciones adicionales. La estructura modular le permite 
volcar y analizar otras bases de datos de telefonos inteligentes sin grandes 
esfuerzos y facilita las actualizaciones dei sistema en el futuro. 

• Usabilidad: el uso de ADEL pretende ser lo mas simple posible para 
permitir su uso tanto por personas calificadas como no expertas. En el mejor 
de los casos, el analisis dei telefono movil se realiza de forma autonoma para 
que el usuario no reciba ninguna notificacion de los procesos internos. 

Ademas, el modulo de informe crea un informe detallado en una forma 
legible que incluye todos los datos decodificados. Durante la ejecucion, 

ADEL escribe opcionalmente un extenso archivo de registro donde se 
rastrean todos los pasos importantes que se ejecutaron. 
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Implementacion y flujo de trabajo dei sistema 

Un diagrama de flujo que muestra la estructura de ADEL se muestra en la siguiente figura: 



ADEL utiliza el Kit de desarrollo de Software de Android (SDK de Android) para 
volcar los archivos de la base de datos en la maquina dei investigador. Para extraer 
contenidos que estan contenidos en un archivo de base de datos SQLite, ADEL 
analiza las estructuras de datos de bajo nivei. Despues de abrir el archivo de base de 
datos que se analizara en el modo de solo lectura, ADEL lee el encabezado de la 
base de datos (los primeros 100 bytes dei archivo) y extrae los valores para cada uno 
de los campos dei encabezado. No todos, pero algunos de los valores en los campos 
dei encabezado son necesarios para analizar el resto dei archivo de la base de datos. 
Un valor importante es el tamano de las paginas en el archivo de la base de datos, 
que es necesario para analizar las estructuras dei arbol B (por pagina). Despues de 
haber leido los campos dei encabezado de la base de datos, ADEL analiza el arbol B 
que contiene la tabla sqlite_master para la cual la primera pagina de la base de 
datos siempre es la pagina raiz. La declaracion SQL CREATE y el numero de pagina 
de la pagina raiz dei arbol B se extraen para cada una de las tablas de la base de 
datos. Ademas, la declaracion SQL CREATE se analiza adicionalmente para extraer 
el nombre y el tipo de datos de cada columna de la tabla correspondiente. 
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Finalmente, la estructura completa dei arbol B se analiza para cada tabla, comenzando 
en la pagina ralz dei arbol B, que se extrajo de la tabla sqlite_master. AI seguir los 
punteros de todas las paginas interiores, puede identificar cada pagina de hoja dei 
arbol B. Finalmente, el contenido de la fila de cada tabla se extrae de las celdas que se 
encuentran en cualquier hoja de pagina que pertenece a la misma tabla dei arbol B. 

En las siguientes secciones, abordaremos el modulo de informe y sus 
funcionalidades. En el estado actual de desarrollo, las siguientes bases de datos 
son tratadas y analizadas de manera forense: 

• Information de telefono y tarjeta SIM (por ejemplo, Identidad International 
del suscriptor movil (IMSI) y numero de serie) 

• Agenda telefonica y listas de llamadas 

• Entradas de calendario 

• Mensajes SMS 

• Mapas de Google 

Los datos recuperados de esta manera se escriben en un archivo XML por el modulo de 
informes para facilitar el uso y la representacion de los datos. De forma similar al modulo 
de analisis, se puede actualizar facilmente con respecto a posibles cambios en futuras 
versiones de Android o en esquemas de bases de datos subyacentes. Por lo tanto, hemos 
creado diferentes tuplas, por ejemplo, [tabla, fila, columna], para definir los datos 
intercambiados entre ambos modulos. Si el diseno de la base de datos cambia en el futuro, 
solo la tupla debe adaptarse. El modulo de informe crea automaticamente archivos XML 
para cada tipo de datos que se enumera previamente. Ademas, se crea un informe que 
contiene todos los datos extraldos de las bases de datos analizadas. Con la ayuda de un 
archivo XSL, el informe sera reformado graficamente. Todos los archivos creados por 
ADEL se almacenan en una subcarpeta del proyecto actual. 

Para acceder a las bases de datos y las carpetas del sistema necesarias en el 
telefono inteligente, ADEL necesita acceso root en el dispositivo. 

Trabajar con ADEL 

Despues de haber deserito que es ADEL y como funciona, ahora vamos a ir a la 
parte practica de esta seccion y comenzar a usarlo. Puede descargar ADEL 
desde la siguiente URL: https://mspreitz.github.io/ADEL 
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Todo lo que necesita hacer es verificar si el dispositivo en cuestion ya esta incluido 
en el perfil de configuracion de ADEL que se encuentra en /xml/phone_conf ig.xml. 
Si falta el dispositivo, hay dos opciones sobre como proceder: 

1. Elija un dispositivo diferente con la misma version de Android (esto 
generara una advertenda, pero funciona en la mayoria de los casos). 

2. Genere una nueva configuracion de dispositivo que coincida con el tipo 
de dispositivo y la version de Android dei dispositivo en cuestion. 

Si elige la segunda opcion, puede copiar la configuracion de un dispositivo que 
ya esta funcionando y adoptar los numeros en el archivo XML. Estos numeros 
representan las tablas y columnas de la base de datos indicada. Para ser un poco 
mas preciso, si intenta adoptar la base de datos de SMS, debe verificar los 
numeros de las siguientes tablas y columnas: 

<sms> 

<db_name>mmssms.db</db_name> 

<table_num>10</table_num> 

<sms_entry_positions> 

<id>0</id> 

<thread_id>l</thread_id> 

<address>2</address> 

<person>3</person> 

<date>4</date> 

<read>7</read> 

<type>9</type> 

<subject>ll</subject> 

<body>12</body> 

</sms_entry_positions> 

</sms> 


El numero para la etiqueta table_num debe establecerse en el numero que 
corresponde a la tabla llamada sms . Deben adoptarse los siguientes numeros 
correspondientes a las columnas en la tabla sms que se nombran de manera identica. 
El ejemplo impreso anterior funciona con un Nexus 5 y Android 4.4.4. Lo mismo 
tiene que hacerse para todas las demas bases de datos tambien. 
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Ejecutar ADEL contra un Nexus 5 rooteado con Android 4.4.4 lleno de datos de 
prueba, genera el siguiente resultado: 

userQlab:~$./adel.py -d nexus5 -1 4 


/ 

\ \ 

_\ \_ 

/1 

1 

/ 

/_\ \ 1 

1 \ 1 

_)_ 1 

1 

/ 

1 \l 

' \l 
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1 / 
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/1 

\ 


\/ \/ \/ \/ 

Android Data Extractor Lite v3.0 


ADEL MAIN: 

-> 

ADEL MAIN: 

-> 

dumpDBs: 

- > 

dumpDBs: 

-> 

6all7 created 


ADEL MAIN: 

-> 


adel.log created 


starting script.... 

Trying to connect to smartphone or emulator.... 
opening connection to device: 031c6277f0a6all7 
evidence directory 2015-07-20 22-53-22 031c6277f0a 

log file 2015-07-20 22-53-22 031c6277f0a6all7/log/ 


ADEL MAIN: -> log level: 4 

dumpDBs: -> device is running Android OS 4.4.4 

dumpDBs: -> dumping all SQLite databases.... 

dumpDBs: -> auto dict doesn't exist! 

dumpDBs: -> weather database doesn't exist! 

dumpDBs: -> weather widget doesn't exist! 

dumpDBs: -> Google-Maps navigation history doesn't exist! 

dumpDBs: -> Facebook database doesn't exist! 

dumpDBs: -> Cached geopositions within browser don't exist! 

dumpDBs: -> dumping pictures (internal_sdcard).... 

dumpDBs: -> dumping pictures (external_sdcard).... 

dumpDBs: > dumping screen captures (internal_sdcard).... 

dumpDBs: > dumping screen captures (internal_sdcard).... 

dumpDBs: > all SQLite databases dumped 

Screenlock: > Screenlock Hash: 

6a062b9b3452e366407181albf92ea73e9ed4c48 
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Screenlock: 

-> 

Locationlnfo: -> 

map.html created 

analyzeDBs: 

-> 

parseDBs: 

-> 

parseDBs: 

-> 

parseDBs: 

-> 

parseDBs: 

-> 

parseDBs: 

-> 

analyzeDBs: 

-> 

createReport: 

-> 

ADEL MAIN: -> 

report.xml created 

compareHash: 

-> 

ADEL MAIN: 

-> 


Screenlock Gesture: [0, 1, 2, 4, 6, 7, 8] 

Location map 2015-07-20 22-53-22 031c6277f0a6all7/ 

starting to parse and analyze the databases.... 

starting to parse smartphone info 

starting to parse calendar entries 

starting to parse SMS messages 

starting to parse call logs 

starting to parse address book entries 

all databases parsed and analyzed.... 

creating report.... 

report 2015-07-20 22-53-22 031c6277f0a6all7/xml/ 

starting to compare calculated hash values 
stopping script.... 


(c) m. spreitzenbarth & s.schmitt 2015 

En esta salida, puede ver el nombre de la carpeta donde se descargan todos los 
datos y donde se puede encontrar el informe generado. Ademas, tambien 
puede ver el gesto dei bloqueo de pantalla que se extrajo automaticamente y se 
comparo con una tabla rainbow pregenerada, de la siguiente manera: 



[131] 


share-video.net 










Using Python for Mobile ¥orensics _ 

Perfiles de movimiento 

Ademas de los datos sobre las comunicaciones individuales, la directiva de la UE 
de 2006 tambien exige que los operadores de red retengan ciertos datos de 
ubicacion. Especialmente, la directiva exige que los siguientes datos se conserven 
durante al menos seis meses: 

• Identidad y coordenadas GPS exactas de la celda de radio donde el usuario 
inicio una llamada telefonica 

• Identidad y coordenadas de la celda de radio que estaba activa al comienzo 
de una transmision de datos GPRS 

• Sellos de tiempo correspondientes a esta informacion 

Esta informacion puede ayudar a los investigadores a crear perfiles de movimiento de 
sospechosos. Ademas, la informacion se puede usar para ubicar y monitorear sospechosos. 

Muchos paises miembros de la UE han implementado esta directiva en las leyes 
nacionales. Sin embargo, en algunos paises, ha habido un intenso debate publico 
sobre las leyes, especialmente en relacion con las amenazas a la privacidad. En 
Alemania, las discusiones fueron alimentadas por un conjunto de datos 
proporcionados por el politico aleman Malte Spitz. El conjunto de datos conterna 
datos de su ubicacion durante un periodo de seis meses que fue preservado por su 
operador de red movil segun la ley de retencion de datos. Un periodico aleman creo 
una interfaz grafica que permitia a los usuarios reproducir visualmente los 
movimientos detallados de Spitz. 

En general, se argumenta que retener grandes cantidades de datos crea nuevos 
riesgos de abuso. Ademas, el requisito de almacenar datos pertenecientes a 
millones de personas inocentes es desproporcionado con respecto al pequeno 
numero de casos en que los datos son utilizados por las autoridades. Como 
resultado, en 2011, el Tribunal Constitucional aleman desestimo la legislacion 
original que requeria retencion de datos. Mientras tanto, la busqueda de tecnicas 
menos invasivas para analizar los movimientos de delincuentes continua. 

En los ultimos anos, muchos tipos nuevos de telefonos moviles (telefonos 
inteligentes) han inundado el mercado. Como son esencialmente computadoras 
personales pequenas, ofrecen mucho mas que la posibilidad de hacer llamadas 
telefonicas y navegar por Internet. Cada vez mas suscriptores usan aplicaciones 
(principalmente aplicaciones de terceros que se instalan directamente en sus 
telefonos) y se comunican con amigos y familiares a traves de las redes sociales 
como Facebook, Google+ y Twitter. 


[ 132 ] 



_ Chapter 6 

Por rendimiento y otras razones, los dispositivos moviles almacenan de forma persistente 
los datos de ubicacion en la memoria local. En abril de 2011, se informo que Android e 
iOS almacenan datos geograficos confidenciales. Estos datos, que se mantienen en los 
archivos de cache dei sistema, se envian regularmente a los desarrolladores de la 
plataforma. Sin embargo, la generacion de datos geograficos no esta restringida al sistema 
operativo: muchas aplicaciones que brindan servicios basados en la ubicacion tambien 
crean y almacenan dichos datos. Por ejemplo, Benford ha demostrado que las imagenes 
tomadas por un iPhone contienen las coordenadas GPS de la ubicacion donde se tomaron 
las imagenes. Dichos datos son sensibles porque se pueden usar para crear perfiles de 
movimiento como se ve en la siguiente figura. A diferencia de los datos de ubicacion que 
conservan los operadores de red, la aplicacion de la ley puede acceder a los datos de 
ubicacion almacenados en telefonos inteligentes a traves de un decomiso abierto. 
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Apple iOS 

Despues de haber visto como examinar un telefono inteligente basado en Android, 
ahora queremos mostrarle como realizar investigaciones similares en dispositivos 
basados en iOS. En la primera seccion, estamos utilizando una conexion Secure 
Shell (SSH) para el dispositivo y le mostraremos como obtener los datos 
almacenados de keychain de un dispositivo iOS con jailbreak. 
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En la segunda parte de esta seccion, usaremos libimobiledevice. Esta biblioteca 
es una biblioteca multiplataforma que utiliza los protocolos para admitir 
dispositivos basados en iOS y le permite acceder facilmente al sistema de archivos 
dei dispositivo, recuperar informacion sobre el dispositivo y sus funciones 
internas, realizar copias de seguridad/restauracion dei dispositivo, administrar 
aplicaciones instaladas, recuperar datos PIM asi como tambien marcadores, etc. 

El hecho mas importante es que el dispositivo basado en iOS no tiene que ser 
jailbroken para ser utilizado, cuando se trata de libimobiledevice. 

Conseguir el Keychain de un jailbroken 
iDevice 

En muchos casos, puede ser muy util obtener nombres de usuario y contrasenas de 
cuentas que el usuario dei iDevice estaba usando. Este tipo de datos se encuentra en 
el keychain de iOS y se puede extraer de iDevice con la ayuda dei siguiente script: 

import os, sys, subprocess 


def get_kc(ip, backup_dir): 

# dumping the keychain 

print "Dumping the keychain ..." 

kc = subprocess.Popen(['scp', 'root@' + ip + 

':/private/var/ Keychains/keychain-2.db', backup_dir], 
stdout=subprocess.PIPE, stdin=subprocess.PIPE, 
stderr=subprocess.PIPE) 
kc.communicate() 


def push_kcd(ip): 

# dumping the keychain 

print "Pushing the Keychain Dumper to the device ..." 

kcd = subprocess.Popen (['scp', 'keychain_dumper' 'root@' + ip + 

stdout=subprocess.PIPE, stdin=subprocess.PIPE, 
stderr=subprocess.PIPE) 
kcd.communicate() 


def exec kcd(ip, backup dir): 
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# pretty print keychain 

kcc = subprocess.Popen(['ssh', 'root@' + ip, './keychain_dumper'], 
stdout=subprocess.PIPE, stdin=subprocess.PIPE, 
stderr=subprocess.PIPE) 
kcc.communicate() 
kcc.stdout 


if name_ == ' main ': 

# starting to create the output directory 
backup_dir = sys.argv[l] 

try: 

os.stat(backup_dir) 
except: 

os.mkdir(backup_dir) 

# get the IP of the iDevice from user input 
ip = sys.argv[2] 

get_kc(ip, backup_dir) 
push_kcd(ip) 

exec_kcd(ip, backup_dir) 

En el resultado dei script anterior, tambien puede encontrar la contrasena de la 
cuenta de Apple en la que esta registrado el dispositivo: 

Generic Password 


Service: com.apple.account.AppleAccount.password 
Account: 437C2D8F-****-****-****-************ 
Entitlement Group: apple 
Label: (null) 

Generic Field: (null) 

Keychain Dahai ★★★★★★★★★★★★★★★★★★★★★★★★★ 
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Examen manual con libimobiledevice 

Esta biblioteca utiliza protocolos iOS comunes para la comunicacion entre la maquina 
dei investigador y el iDevice conectado. Para funcionar correctamente, el dispositivo 
debe estar desbloqueado y emparejado porque, de lo contrario, una gran cantidad de 
datos en el dispositivo todavia esta encriptados y, por lo tanto, protegidos. 

Con la ayuda dei siguiente script, puede crear una copia de seguridad completa dei 
dispositivo (similar a una copia de seguridad de iTunes). Posteriormente, el script 
descomprimira la copia de seguridad e imprimira una lista jerarquica de todos los 
archivos y carpetas en la copia de seguridad. Dependiendo dei tamano dei iDevice, 
este script puede ejecutarse durante varios minutos, 
import os, sys, subprocess 


def get_device_info(): 

# getting the udid of the connected device 

udid = subprocess.Popen(['idevice_id', '-1'], stdout=subprocess. 

PIPE) . stdout. readline () .rstripO 

print "connected device: \033[0;32m" + udid + "\033[m" 
return udid 


def create_backup(backup_dir): 

# creating a backup of the connected device 

print "creating backup (this can take some time) ..." 

backup = subprocess.Popen(['idevicebackup2', 'backup', 
backup_ dir], stdout=subprocess.PIPE) 
backup.communicate() 

print "backup successfully created in ./" + backup_dir + "/" 


def unback_backup(udid, backup_dir): 

# unpacking the backup 

print "unpacking the backup ..." 

backup = subprocess.Popen(['idevicebackup2', '-u', udid, 

'unback', backup_dir], stdout=subprocess.PIPE) 
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backup.communicate() 

print "backup successfully unpacked and ready for analysis 


def get_content(backup_dir): 

# printing content of the created backup 

content = subprocess.Popen(['tree', backup_dir + '/_unback_/'], 
stdout=subprocess.PIPE).stdout.read() 

f = open(backup_dir + '/filelist.txt', 'a+') 

f.write(content) 
f.close 

print "list of all files and folders of the backup are stored in 
./" + backup_dir + "/filelist.txt" 


if name_ == ' main ' : 

# check if device is connected 

if subprocess.Popen(['idevice_id', '-1'], stdout=subprocess.PIPE). 

communicate(0)[0].split("\n")[0] == 

print "no device connected - exiting..." 
sys.exit(2) 

# starting to create the output directory 
backup_dir = sys.argv[l] 

try: 

os.stat(backup_dir) 
except: 

os.mkdir(backup_dir) 

udid = get_device_info() 
create_backup(backup_dir) 
unback_backup(udid, backup_dir) 
get_content(backup_dir) 
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EI resultado final de este script se vera como el siguiente extracto: 

user@lab:~$ ./create_ios_backup.py out 


connected device: 

460683e351a265a7b9eal84b2802cf4fcd02526d creating backup 
(this can take some time) ... 
backup successfully created in ./out 
unpacking the backup ... 

backup successfully unpacked and ready for analysis 

list of all files and folders of the backup are stored in 
./out/filelist. txt 

Con la ayuda de la lista de archivos y carpetas, puede comenzar el analisis de la 
copia de seguridad con herramientas comunes como un visor de archivos plist o 
un navegador SQLite. La busqueda de Cydia App Store en este archivo generado 
tambien puede ayudar a identificar si el usuario o un atacante ha liberado el 
telefono inteligente. 

Resumen 

En este capitulo, cubrimos el modelo de proceso de investigacion de Eoghan 
Casey y lo adoptamos para el caso de los telefonos inteligentes. Mas tarde, 
realizamos un analisis de los telefonos inteligentes Android de forma manual 
y automatica con la ayuda de Scripts de Python y el framework ADEL. En la 
ultima seccion, cubrimos el analisis de telefonos inteligentes basados en iOS. 

Despues de manejar la investigacion forense de los telefonos inteligentes, 
terminamos la adquisicion y el analisis fisico y Virtual y cambiaremos la 
investigacion al area volatil de los dispositivos en el siguiente capitulo. 
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EI uso de Python para el 
analisis forense de memoria 


Ahora que ha realizado investigaciones en la infraestructura (consulte el Capitulo 4, 

Uso de Python para analisis forense de redes), equipos de IT comunes (consulte el 
Capitulo 3, Uso de Python para Windows y Linux Forensics), e incluso en el 
virtualizado (consulte el Capitulo 5, Uso de Python para virtualizacion Forense) y 
mundos moviles (consulte el Capitulo 6, Uso de Python para forense movil), en este 
capitulo, le mostraremos como investigar en memoria volatil con la ayuda de 
Volatility, un framework basado en Python, en las siguientes plataformas: 

• Android 

• Linux 

Despues de mostrarle algunos complementos basicos de Volatility para Android y 
Linux y como obtener el volcado de RAM requerido para el analisis, buscaremos 
malware en la memoria RAM. Por lo tanto, usaremos regias de YARA basadas en la 
coincidencia de patrones y las combinaremos con el poder de Volatility. 

Comprender los fundamentos de Volatility 

En general, la memoria forense sigue el mismo patron que otras investigaciones forenses: 

1. Seleccionando el objetivo de la investigacion. 

2. Adquirir datos forenses. 

3. Analisis forense. 

En los capltulos anteriores, ya presentamos varias tecnologlas sobre como 
seleccionar el objetivo de una investigacion, por ejemplo, comenzando desde el 
sistema con configuraciones inusuales en la capa de virtualizacion. 
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La adquisicion de datos forenses para el analisis de la memoria depende en 
gran medida dei entorno y lo discutiremos en las secciones Uso de 

Volatility en Linux y Uso de Volatility en Android de este capitulo. 


Considere siempre la capa de virtualizacion como fuente de datos 

La adquisicion de memoria de un sistema operativo en ejecucion siempre 
vl requiere acceso administrativo a este sistema y es un proceso intrusivo, 

C ) es decir, el proceso de adquisicion de datos cambia los datos de la 
' v >. y memoria. Ademas, el malware avanzado es capaz de manipular la 

gestion de la memoria dei sistema operativo para evitar su adquisicion. 

Por lo tanto, siempre verifique e intente adquirir la memoria en la capa 
dei hipervisor como se describe en el Capitulo 5, Uso de Python para 
^ virtualizacion Forense 

La herramienta mas importante para el analisis de datos de memoria es 
Volatility. Volatility esta disponible en Volatility Foundation en 

http://www.volatilityfoundation.org/. 

La herramienta esta escrita en Python y se puede utilizar de forma gratuita bajo los 
terminos de la Licencia publica general de GNU (GPL) version 2. Volatility puede 
leer volcados de memoria en varios formatos de archivo, por ejemplo, archivos de 
hibernacion, volcados de memoria en bruto, Los archivos de snapshot de memoria 
de VMware y el formato de extractor de memoria de Linux (LiME) producido por 
el modulo LiME, que se analizaran mas adelante en este capitulo. 

Los terminos mas importantes en el mundo de Volatility son los siguientes: 

• Profile: Un perfil ayuda a Volatility en la interpretacion de los 
desplazamientos de memoria y las estructuras de la memoria. El perfil 
depende dei sistema operativo, especialmente dei nucleo dei sistema 
operativo, la maquina y la arquitectura de la CPU. Volatility contiene una 
variedad de perfiles para los casos de uso mas comunes. En la seccion Uso de 
Volatility en Linux de este capitulo, describiremos como crear sus perfiles. 

• Plugin: Los Plugins se utilizan para realizar acciones en el volcado de 
memoria. Cada comando de Volatility que use llama a un Plugin para 
realizar la accion correspondiente. Por ejemplo, para obtener una lista de 
todos los procesos que se estaban ejecutando durante el volcado de memoria 
de un sistema Linux, se usa el Plugin linux_pslist. 

Volatility proporciona una documentacion completa y le recomendamos que se 
familiarice con todas las descripciones de los modulos para aprovechar al maximo 
Volatility. 
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Usando Volatility en Android 

Para analizar la memoria volatil desde dispositivos Android, primero necesitara 
LiME. LiME es un Modulo de kernel cargable (LKM) que da acceso a toda la 
memoria RAM dei dispositivo y puede descargarlo en una tarjeta SD fisica o desde 
la red. Despues de adquirir el volcado de memoria volatil con LiME, le mostraremos 
como instalar y configurar Volatility para analizar el volcado de memoria RAM. En 
la ultima seccion, demostraremos como obtener informacion especifica dei volcado 
de memoria RAM. 

LiME y la imagen de recuperacion 

LiME es un Modulo de kernel cargable (LKM) que permite la adquisicion de memoria 
volatil desde Linux y dispositivos basados en Linux, como Android. Esto hace que 
LiME sea unico, ya que es la primera herramienta que permite capturas de memoria 
completas en dispositivos Android. Tambien minimiza su interaccion entre el usuario 
y los procesos dei espacio dei kernel durante la adquisicion, lo que le permite 
producir capturas de memoria que son mas forense que las de otras herramientas 
disenadas para la adquisicion de memoria de Linux. 

Para utilizar LiME en Android, tiene que compilarse de forma cruzada para el kernel 
usado en el dispositivo en cuestion. En las siguientes secciones, veremos como se 
realizan estos pasos para un Nexus 4 con Android 4.4.4 (sin embargo, este enfoque se 
puede adaptar a todos los dispositivos basados en Android para los que el kernel, o al 
menos la configuracion dei kernel, esta disponible como codigo abierto). 

En primer lugar, tenemos que instalar algunos paquetes adicionales en nuestro sistema de 
laboratorio, de la siguiente manera: 

user@lab:~$ sudo apt-get install bison g++-multilib git gperf libxml2- 
utils make python-networkx zliblg-dev:i386 zip openjdk-7-jdk 

Despues de instalar todos los paquetes requeridos, ahora debemos configurar el acceso a 
los dispositivos USB. Bajo los sistemas GNU/Linux, los usuarios regulares directamente 
no pueden acceder a los dispositivos USB por defecto. El sistema necesita ser configurado 
para permitir tal acceso. Esto se hace creando un archivo llamado /etc/udev/rules.d/51- 
android.rules (como el usuario root) e insertando las siguientes lineas en el: 

# adb protocol on passion (Nexus One) 

SUBSYSTEM=="usb", ATTR{idVendor}=="18dl", 

ATTR{idProduct}=="4el2", MODE="0600", OWNER="user" 

# fastboot protocol on passion (Nexus One) 

SUBSYSTEM=="usb", ATTR{idVendor}=="0bb4", 

ATTR{idProduct}=="Offf", MODE="0600", OWNER="user" 

# adb protocol on crespo/crespo4g (Nexus S) 

SUBSYSTEM=="usb", ATTR{idVendor}=="18dl", 

ATTR{idProduct}=="4e22", MODE="0600", OWNER="user" 

# fastboot protocol on crespo/crespo4g (Nexus S) 


[ 141 ] 




SUBSYSTEM=="usb", ATTR{idVendor}=="18dl", ATTR{idProduct}=="4e20", 
MODE="0600", OWNER="user" 

# adb protocol on stingray/wingray (Xoom) 

SUBSYSTEM=="usb", ATTR{idVendor}=="22b8", ATTR{idProduct}=="70a9", 
MODE="0600", OWNER="user" 

# fastboot protocol on stingray/wingray (Xoom) 

SUBSYSTEM=="usb", ATTR{idVendor}=="18dl", ATTR{idProduct}=="708c", 
MODE="0600", OWNER="user" 

# adb protocol on maguro/toro (Galaxy Nexus) 

SUBSYSTEM=="usb", ATTR{idVendor}=="04e8", ATTR{idProduct}=="6860", 
MODE="0600", OWNER="user" 

# fastboot protocol on maguro/toro (Galaxy Nexus) 

SUBSYSTEM=="usb", ATTR{idVendor}=="18dl", ATTR{idProduct}=="4e30", 
MODE="0600", OWNER="user" 

# adb protocol on panda (PandaBoard) 

SUBSYSTEM=="usb", ATTR{idVendor}=="0451", ATTR{idProduct}=="dl01", 
MODE="0600", OWNER="user" 

# adb protocol on panda (PandaBoard ES) 

SUBSYSTEM=="usb", ATTR{idVendor}=="18dl", ATTR{idProduct}=="d002", 
MODE="0600", OWNER="user" 

# fastboot protocol on panda (PandaBoard) 

SUBSYSTEM=="usb", ATTR{idVendor}=="0451", ATTR{idProduct}=="d022", 
MODE="0600", OWNER="user" 

# usbboot protocol on panda (PandaBoard) 

SUBSYSTEM=="usb", ATTR{idVendor}=="0451", ATTR{idProduct}=="d00f", 
MODE="0600", OWNER="user" 

# usbboot protocol on panda (PandaBoard ES) 

SUBSYSTEM=="usb", ATTR{idVendor}=="0451", ATTR{idProduct}=="d010", 
MODE="0600", OWNER="user" 

# adb protocol on grouper/tilapia (Nexus 7) 

SUBSYSTEM=="usb", ATTR{idVendor}=="18dl", ATTR{idProduct}=="4e42", 
MODE="0600", OWNER="user" 

# fastboot protocol on grouper/tilapia (Nexus 7) 

SUBSYSTEM=="usb", ATTR{idVendor}=="18dl", ATTR{idProduct}=="4e40", 
MODE="0600", OWNER="user" 

# adb protocol on manta (Nexus 10) 

SUBSYSTEM=="usb", ATTR{idVendor}=="18dl", ATTR{idProduct}=="4ee2", 
MODE="0600", OWNER="user" 

# fastboot protocol on manta (Nexus 10) 

SUBSYSTEM=="usb", ATTR{idVendor}=="18dl", ATTR{idProduct}=="4ee0", 
MODE="0600", OWNER="user" 
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Ahora viene la parte que mas tiempo consume: verificar el codigo fuente de la version 
de Android que se utiliza. Dependiendo de la velocidad dei disco duro y la conexion a 
Internet, este paso puede tomar varias horas, asi que planifiquelo con anticipacion. 
Ademas, tenga en cuenta que el codigo fuente es bastante grande, asi que use una 
segunda particion con al menos 40 GB de espacio libre. Instalamos el codigo fuente 
para Android 4.4.4 de la siguiente manera: 

user@lab:~$ mkdir ~/bin 
userglab:~$ PATH=~/bin:$PATH 


user@lab:~$ curi https://storage.googleapis.com/git-repo-downloads/repo > 
~/bin/repo 

user@lab:~$ chmod a+x ~/bin/repo 
user@lab:~$ repo init -u 

https://android.googlesource.com/platform/ manifest -b android- 
4.4.4 rl 


user@lab:~$ repo sync 

Despues de haber instalado el codigo fuente para Android 4.4.4, ahora necesitamos las 
fuentes para el kernel que se ejecuta en el dispositivo en cuestion. Para el Nexus 4 que 
estamos usando aqui, el kernel correcto es el kernel de mako. Se puede encontrar una lista 
de todos los kernels disponibles para telefonos Google en http:// source.android.com/ 
source / building-kernels. html. 

user@lab:~$ git clone 

https://android.googlesource.com/device/lge/mako- kernel/kernel 

user@lab:~$ git clone https://android.googlesource.com/kernel/msm.git 

Ahora que tenemos todas las fuentes necesarias para la compilacion cruzada 
de LiME, es hora de obtener LiME en si mismo: 

user@lab:~$ git clone https://github.com/504ensicsLabs/LiME.git 

Despues de clonar el repositorio git en nuestra maquina de laboratorio, ahora tenemos que 
establecer algunas variables de entorno que se necesitan durante el proceso de compilacion: 

user@lab:~$ export SDK_PATH=/path/to/android-sdk-linux/ 

user@lab:~$ export NDK_PATH=/path/to/android-ndk/ 
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user@lab:~$ export KSRC_PATH=/path/to/kernel-source/ 

user@lab:~$ export CC_PATH=$NDK_PATH/toolchains/arm-linux- 
androideabi-4.9/prebuilt/linux-x86/bin/ 

user@lab:~$ export LIME_SRC=/path/to/lime/src 

A continuacion, necesitamos obtener la configuracion actual dei kernel dei 
dispositivo en cuestion y copiarla a la ubicacion correcta en la fuente de LiME. 
En nuestro Nexus 4, esto es posible al ingresar el siguiente comando: 

user@lab:~$ adb pull /proc/config.gz 
user@lab:~$ gunzip ./config.gz 
user@lab:~$ cp config $KSRC_PATH/.config 


user@lab:~$ cd $KSRC PATH 


user@lab:~$ make ARCH=arm CROSS_COMPILE=$CC_PATH/arm-eabi-modules_prepare 

Antes de que podamos construir el modulo dei kernel de LiME , necesitamos 
escribir nuestro Makefile personalizado: 

obj-m := lime.o 

lime-objs := main.o tcp.o disk.o 
KDIR := /path/to/kernel-source 
PWD := $(shell pwd) 

CCPATH := /path/to/android-ndk/toolchains/arm-linux-androideabi- 
4.4.4/ prebuilt/linux-x86/bin/ 
default: 

$(MAKE) ARCH=arm CROSS_COMPILE=$(CCPATH)/arm-eabi- -C $(KDIR) 

M=$(PWD) modules 

Con la ayuda de este Makefile, podemos construir el modulo kernel que se necesita para obtener 
la memoria volatil de un dispositivo Android. Ingresar make puede comenzar este proceso. 

En el siguiente ejemplo, demostraremos como impulsar nuestro modulo kernel 
recien generado al dispositivo en cuestion y volcar toda la memoria volatil a nuestro 
entorno de laboratorio a traves de TCP. 
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Si tiene un dispositivo en el que el kernel no permite cargar modulos sobre la 
marcha, deberia considerar crear su propia imagen de recuperacion (por ejemplo, 
una version personalizada de TWRP o CWM), incluir el modulo de kernel LiME 
y flashearlo al dispositivo en cuestion. Si es lo suficientemente rapido durante la 
operacion de flasheo, casi no se pierden datos (para obtener mas informacion, 
consulte https://wwwl.informatik.uni-erlangen.de/frost). 

El modulo LiME ofrece tres formatos de imagen diferentes que se pueden usar para 
guardar una imagen de memoria capturada en el disco: raw, padded, y lime. El 
tercer formato, lime, se analiza en detalle, ya que es nuestro formato de eleccion. El 
formato lime ha sido especialmente desarrollado para ser utilizado en conjunto con 
Volatility. Se supone que permite un analisis sencillo con Volatility y se ha agregado 
un espacio de direcciones especial para tratar este formato. Cada volcado de 
memoria que se basa en el formato lime tiene un encabezado de tamano fijo, que 
contiene informacion especifica de espacio de direcciones para cada rango de 
memoria. Esto elimina la necesidad de contar con rellenos adicionales solo para 
llenar las regiones sin asignar o E/S mapeada en memoria. La especificacion dei 
encabezado LiME se enumera a continuacion: 


typedef struet { 

unsigned int magic; 
unsigned int version; 
unsigned long long s_addr; 
unsigned long long e_addr; 
unsigned char reserved[8]; 

} attribute_ (( packed 


// Always 0x4C694D45 (LiME) 

// Header version number 
// Starting address of physical RAM 
// Ending address of physical RAM 
// Currently all zeros 
)) lime_mem_range_header; 


Para obtener un archivo de ese tipo dei dispositivo Android en cuestion, conectese al 
dispositivo Android a traves de adb e ingrese los siguientes comandos: 

user@lab:~$ adb push lime.ko /sdcard/lime.ko 
user@lab:~$ adb forward tcp:4444 tcp:4444 
user@lab:~$ adb shell 
nexus4:~$ su 

nexus4:~$ insmod /sdcard/lime.ko "path=tcp:4444 format=lime" 


En la maquina de laboratorio, ingrese el siguiente comando para aceptar los datos enviados a 
traves dei puerto TCP 4444 desde el dispositivo Android a la maquina de laboratorio local: 

user@lab:~$ nc localhost 4444 > nexus4_ram.lime 

Si los comandos anteriores se ejecutan con exito, ahora tendra un volcado 
de RAM que se puede analizar con la ayuda de Volatility u otras 
herramientas (consulte la siguiente seccion). 
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Volatility para Android 

Despues de adquirir un archivo de volcado que representa la memoria fisica dei sistema 
de destino con las herramientas que creamos en la seccion anterior, tenemos la intencion 
de extraer los artefactos de datos de el. Sin un analisis en profundidad de las estructuras 
de memoria de Android, solo podriamos extraer formatos de archivo conocidos como 
JPEG, o solo los encabezados JPEG con los datos EXIF (con herramientas como 
PhotoRec) o simples cadenas ASCII, que se almacenan en una forma contigua (con 
herramientas comunes de Linux como strings) que podria usarse para ataques de fuerza 
bruta en los dispositivos en cuestion. Este enfoque es muy limitado, ya que puede 
utilizarse para cualquier disco o volcado de memoria, pero no se centra en el sistema 
operativo y las estructuras especificas de la aplicacion. Como intentamos extraer objetos 
de datos completos dei sistema Android, haremos uso dei popular framework de 
investigacion forense para la memoria volatil: Volatility. 

En esta seccion, utilizaremos una version de Volatility con soporte ARM (necesita la version 
2.3 como minimo). Dada una imagen de memoria, Volatility puede extraer procesos en 
ejecucion, abrir sockets de red, mapas de memoria para cada proceso y modulos kernel. 

Antes de poder analizar una imagen de memoria, se debe crear un 
perfil de Volatility que se pasa al framework Volatility como un 
parametro de linea de comando. Dicho perfil de Volatility es un 
conjunto de definiciones de vtype y direcciones opcionales de simbolos 
que Volatility usa para localizar informacion sensible y analizarla. 

Basicamente, un perfil es un archivo comprimido que contiene dos archivos, de la siguiente manera: 

• El archivo System.map contiene nombres de simbolos y direcciones de estructuras 
de datos estaticos en el kernel de Linux. En el caso de Android, este archivo se 
encuentra en el arbol fuente dei kernel despues de la compilacion dei kernel. 

• El archivo module.dwarf surge al compilar un modulo contra el kernel 
objetivo y extraer la informacion de depuracion DWARF. 

Para crear un archivo module.dwarf, se requiere una utilidad llamada dwarfdump. El 
arbol fuente de Volatility contiene el directorio tools/linux. Si ejecuta make en este 
directorio, el comando compila el modulo y produce el archivo DWARF deseado. La 
creacion dei perfil real se realiza simplemente ejecutando el siguiente comando: 

userglab $ zip Nexus4.zip module.dwarf System.map 

El archivo ZIP resultante debe copiarse en volatility/plugins/overlays/linux. 

Despues de copiar con exito el archivo, el perfil aparece en la seccion de perfiles de 
salida de ayuda de Volatility. 
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Aunque el soporte de Android en Volatility es bastante nuevo, existe una gran cantidad 
de plugins de Linux que tambien funcionan perfectamente en Android. Por ejemplo: 

• linux_pslist: Enumera todos los procesos en ejecucion de un sistema 
similar al comando ps de Linux 

• linux_if conf ig: Este plugin simula el comando de Linux ifconfig 

• linux_route_cache: Lee e imprime el cache de ruta que almacena las 
entradas de enrutamiento usadas recientemente en una tabla hash 

• linux_proc_maps: Este complemento adquiere mapeos de 
memoria de cada proceso individual 

Si esta interesado en como escribir plugins de Volatility personalizados y analizar 
estructuras desconocidas en la Dalvik Virtual Machine (DVM), consulte el siguiente 
articulo escrito por mi y mis colegas: Analisis de memoria post-Mortem de dispositivos 
Android iniciados en frio (consulte https://wwwl.informatik.uni-erlangen.de/ 
filepool/publications/android.ram.analysis.pdf). 

En la siguiente seccion, vamos a mostrar como reconstruir los datos de 
aplicaciones especificas con la ayuda de LiME y Volatility. 

Reconstruyendo datos para Android 

Ahora, veremos como reconstruir los datos de las aplicaciones con la ayuda de Volatility y 
los plugins personalizados. Por lo tanto, hemos elegido el historial de llamadas y la 
memoria cache dei teclado. Si esta investigando en un sistema Linux o Windows comun, ya 
hay una gran cantidad de complementos disponibles, como vera en la ultima seccion de 
este capitulo. Desafortunadamente, en Android, debes escribir tus propios complementos. 

Historial de llamadas 

Uno de nuestros objetivos es recuperar la lista de llamadas recientes entrantes y salientes 
desde un volcado de memoria de Android. Esta lista se carga cuando se abre la aplicacion 
dei telefono. El proceso responsable para la aplicacion dei telefono y el historial de llamadas 
es com.android.contacts. Este proceso carga el archivo de clase PhoneClassDetails.java que 
modela los datos de todas las llamadas telefonicas en una estructura de historial. Una 
instanda de esta clase esta en memoria por entrada de historial. Los campos de datos para 
cada instancia son metainformacion tipica de una llamada, de la siguiente manera: 


Tipo (entrantes, salientes o perdidas) 

Duracion 

Fecha y hora 
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• Numero de telefono 

• Nombre de contacto 

• Foto asignada dei contacto 

Para extraer y visualizar automaticamente estos metadatos, proporcionamos un plugin de 
Volatility llamado dalvik_app_calllog, que se muestra de la siguiente manera: 

class dalvik_app_calllog(linux_common.AbstractLinuxCommand): 

def init (self, config, *args, **kwargs): 

linux_common.AbstractLinuxCommand. init (self, config, 

*args, **kwargs) 

dalvik.register_option_PID(self._config) 

dalvik.register_option_GDVM_OFFSET(self._config) 

self._config.add_option('CLASS_OFFSET', short_option = 

'c' , 

default = None, 

help = 'This is the offset (in hex) of System class 
PhoneCallDetails.java', action = 'store', type = 'str') 

def calculate(self): 

# if no gDvm object offset was specified, use this one 
if not self._config.GDVM_OFFSET: 

self._config.GDVM_OFFSET = str(hex(0x41b0)) 

# use linux_pslist plugin to find process address space and 
ID if not specified 

proc_as = None 
tasks = 

linux_pslist.linux_pslist(self._config).calculateO for 
task in tasks: 

if str(task.comm) == "ndroid.contacts": 

proc_as = task.get_process_address_space() 
if not self._config.PID: 

self._config.PID = str(task.pid) 

break 

# use dalvik_loaded_classes plugin to find class offset 
if not specified 

if not self,_config.CLASS_OFFSET: 

classes = dalvik_loaded_classes.dalvik_loaded__ 
classes(self._config).calculate() 

for task, clazz in classes: 
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if (dalvik.getString(clazz.sourceFile)+"" == 
"PhoneCallDetails.java"): 


obj_offset) ) 


self._config.CLASS_OFFSET = str(hex(clazz. 
break 


# use dalvik_find_class_instance plugin to find a list of 
possible class instances 

instances = dalvik_find_class_instance.dalvik_find_class_ 
instance(self._config).calculate() 

for sysClass, inst in instances: 

callDetailsObj = obj.Object('PhoneCallDetails', offset 
= inst, vm = proc_as) 

# access type ID field for sanity check 
typelD = int(callDetailsObj.callTypes.contentsO) 

# valid type ID must be 1,2 or 3 

if (typelD == 1 or typelD == 2 or typelD == 3): 
yield callDetailsObj 

def render_text(self, outfd, data): 

self.table_header(outfd, [ ("InstanceClass", "13"), 

("Date", "19"), 

("Contact", "20"), 

("Number", "15"), 

("Duration", "13"), 

("Iso", "3"), 

("Geocode", "15"), 

("Type", "8") 

] ) 

for callDetailsObj in data: 

# convert epoch time to human readable date and time 
rawDate = callDetailsObj.date / 1000 

date = str(time.gmtime(rawDate).tm_mday) + + \ 

str(time.gmtime(rawDate).tm_mon) + + \ 

str(time.gmtime(rawDate).tm_year) + " " + \ 
str(time.gmtime(rawDate).tm_hour) + + \ 

str(time.gmtime(rawDate).tm_min) + + \ 

str(time.gmtime(rawDate).tm_sec) 

# convert duration from seconds to hh:mm:ss format 

duration = str(callDetailsObj.duration / 3600) + "h 

" + \ 
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60) + "min " + \ 


str((callDetailsObj.duration % 3600) / 
str(callDetailsObj.duration % 60) + "s" 


# replace call type ID by string 

callType = int (callDetailsObj.callTypes.contentsO) 
if callType == 1: 

callType = "incoming" 
elif callType == 2: 

callType = "outgoing" 
elif callType == 3: 

callType = "missed" 

else: 

callType = "unknown" 

self.table_row( outfd, 

hex(callDetailsObj.obj_offset) , 
date, 

dalvik.parseJavaLangString(callDeta 
ilsObj.name.dereference_as('StringObject')), 

dalvik.parseJavaLangString(callDeta 
ilsObj.formattedNumber.dereference_as('StringObject')), 

duration, 

dalvik.parseJavaLangString(callDeta 
ilsObj.countrylso.dereference_as('StringObject')), 

dalvik.parseJavaLangString(callDeta 
ilsObj.geoCode.dereference_as('StringObject')), 

callType) 

Este plugin acepta los siguientes parametros de lmea de comando: 

• -o: Para un desplazamiento al objeto gDvm 

• -p: Para un process ID (PID) 

• -c: Para un desplazamiento a la clase PhoneClassDetails 

Si se conocen algunos de estos parametros y se pasan ai plugin, ei tiempo de 
ejecucion dei plugin se reduce significativamente. De lo contrario, el plugin debe 
buscar estos valores en la RAM. 
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Cache dei teclado 

Ahora, queremos echar un vistazo a la memoria cache de la aplicacion de teclado 
predeterminada. Suponiendo que no se dieron mas entradas despues de desbloquear la 
pantalla y el telefono inteligente esta protegido por un PIN, este PIN es igual a la ultima 
entrada dei usuario, que se puede encontrar en un volcado de memoria Android como 
una cadena Unicode UTF-16. La cadena Unicode de la ultima entrada dei usuario la 
crea la clase RichlnputConnection en el proceso com. android. inputmethod. latin y 
se almacena en una variable llamada mCommittedTextBeforeComposingText. Esta 
variable es como un bufer de teclado, es decir, almacena las ultimas pulsaciones de 
teclas confirmadas y mecanografiadas dei teclado en pantalla. Para recuperar la ultima 
entrada de usuario, proporcionamos un plugin de Volatility llamado dalvik_app_ 
lastinput, de la siguiente manera: 

class dalvik_app_lastlnput(linux_common.AbstractLinuxCommand): 

def init (self, config, *args, **kwargs): 

linux_common.AbstractLinuxCommand. init (self, config, 

*args, **kwargs) 

dalvik.register_option_PID(self._config) 

dalvik.register_option_GDVM_OFFSET(self._config) 

self._config.add_option('CLASS_OFFSET', short_option = 

'c', 

default = None, 

help = 'This is the offset (in hex) of System class 
RichlnputConnection.java', action = 'store', type = 'str') 

def calculate(self): 

# if no gDvm object offset was specified, use this one 
if not self._config.GDVM_OFFSET: 

self._config.GDVM_OFFSET = str(0x41b0) 

# use linux_pslist plugin to find process address space and 
ID if not specified 

proc_as = None 
tasks = 

linux_pslist.linux_pslist(self._config).calculateO for 
task in tasks: 

if str(task.comm) == "putmethod.latin": 

proc_as = task.get_process_address_space() 

self._config.PID = str(task.pid) 

break 

# use dalvik_loaded_classes plugin to find class offset 
if not specified 

if not self._config.CLASS_OFFSET: 

-[151]- 



Using Python for Memory Forensics 


classes = dalvik_loaded_classes.dalvik_loaded 
classes(self._config).calculate () 

for task, clazz in classes: 


if (dalvik.getString(clazz.sourceFile)+"" == 
"RichlnputConnection.java"): 


obj_offset) ) 


self,_config.CLASS_OFFSET = str(hex(clazz. 
break 


# use dalvik_find_class_instance plugin to find a list of 
possible class instances 

instance = dalvik_find_class_instance.dalvik_find_class__ 
instance(self._config) .calculate () 

for sysClass, inst in instance: 

# get stringBuilder object 

stringBuilder = inst.clazz.getJValuebyName(inst, 
"mCommittedTextBeforeComposingText") .Obj ect.dereference_as('Obj ect') 

# get superclass object 

abstractStringBuilder = stringBuilder.clazz.super. 
dereference_as('ClassObject') 

# array object of super class 
charArray = abstractStringBuilder. 

getJValuebyName(stringBuilder, "value").Object.dereference_ 
as('ArrayObj ect') 

# get length of array object 
count = charArray.length 

# create string object with content of the array object 
text = obj.Object('String', offset = charArray. 

contentsO.obj_offset, 

vm = abstractStringBuilder.obj_vm, length = count*2, 
encoding = "utfl6") 

yield inst, text 

def render_text(self, outfd, data): 

self.table_header(outfd, [ ("InstanceClass", "13"), 

("lastlnput", "20") 

] ) 

for inst, text in data: 

self.table_row( outfd, 

hex(inst.obj_offset), 
text) 
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En realidad, este plugin no solo recupera los PIN sino tambien las entradas de 
usuario arbitrarias que se dieron por ultima vez; esto podria ser un artefacto 
interesante de evidencia digital en muchos casos. De forma similar al plugin 
anterior, acepta los mismos tres parametros de linea de comando: desplazamiento 
de gDvm, PID y desplazamiento de archivo de clase. Si ninguno, o solo algunos de 
estos parametros se dan, el complemento tambien puede determinar 
automaticamente los valores perdidos. 

Usando Volatility en Linux 

En la siguiente seccion, describiremos tecnicas de adquisicion de memoria y casos 
de uso de muestra para usar Volatility para el analisis forense de memoria de Linux. 

Adquisicion de memoria 

Si el sistema no esta virtualizado y, por lo tanto, no hay forma de obtener la memoria 
directamente desde la capa dei hipervisor; entonces, incluso para Linux, nuestra 
herramienta de eleccion es LiME. 

Sin embargo, a diferencia de Android, la instalacion y operacion de la herramienta 
es mucho mas facil porque generamos y ejecutamos LiME directamente en el 
sistema Linux; sin embargo, muchos pasos son bastante similares, como notara en 
los parrafos siguientes. 

Primero, determine la version exacta dei kernel, que se esta ejecutando en el 
sistema, que se analizara. Si no hay suficiente documentacion disponible, puede 
ejecutar el siguiente comando para obtener la version dei kernel: 

user@forensic-target $ uname -a 

Linux forensic-target 3.2.0-88-generic #126-Ubuntu SMP Mon Jul 6 
21:33:03 UTC 2015 x86 64 x86 64 x86 64 GNU/Linux 



Use la gestion de configuracion en entornos empresariales 

Los entornos empresariales a menudo ejecutan sistemas de gestion de 
configuracion que le muestran la version dei kernel y la distribucion 
de Linux de su sistema destino. Pidale a su cliente que le proporcione 
esta informacion o incluso un sistema con una version de kernel y un 
entorno de Software identicos puede ayudarlo a reducir el riesgo de 
incompatibilidades entre el modulo LiME y su objetivo forense. 


En su entorno de laboratorio, prepare el modulo dei kernel LiME para la adquisicion 
de memoria. Para compilar el modulo, asegurese de tener la version correcta dei 
codigo fuente dei kernel disponible para su objetivo y luego emita el siguiente 
comando de compilacion en el directorio src de LiME: 

userglab src $ make -C /usr/src/linux-headers-3.2.0-88-generic M=$PWD 
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Esto deberfa crear el modulo lime. ko en el directorio actual. 

En el sistema de destino, este modulo de kernel se puede utilizar para volcar la 
memoria en el disco, de la siguiente manera: 

user@forensic-target $ sudo insmod lime.ko 
path=/path/to/dump.lime format=lime 


Recomendamos elegir una ruta en la red para escribir la imagen. 

De esta manera, los cambios realizados en el sistema local son 
minimos. Transferir la imagen a traves de la red tambien es una 
opcion. Simplemente siga la descripcion en la seccion Uso de 
Volatility en Android. 

Volatility para Linux 

Volatility viene con una amplia gama de perfiles. Volatility usa estos perfiles para 
interpretar el volcado de memoria. Desafortunadamente, la gran variedad de 
kernels de Linux, arquitecturas de sistema y configuraciones de kernel hacen que 
sea imposible enviar los perfiles de todas las versiones de kernels de Linux. 

Listado de todos los perfiles de Volatility 

La lista de todos los perfiles disponibles se puede 
recuperar con el comando vol. py —inf o. 

En consecuencia, puede ser necesario crear su propio perfil como una pareja ideal para el 
objetivo forense. El framework Volatility admite este paso al proporcionar un modulo 
ficticio que se debe compilar contra los encabezados dei kernel dei sistema de destino. 
Este modulo esta disponible en la distribucion Volatility en el subdirectorio tools/ 
linux. Compilarlo, similar a LiME, pero con la configuracion de depuracion habilitada: 

userQlab src $ make -C /usr/src/linux-headers-3.2.0-88-generic 
CONFIG_ DEBUG_INFO=y M=$PWD 

Esto crea module. ko. No hay necesidad de cargar este modulo; todo lo que 
necesitamos es su informacion de depuracion. Usamos la herramienta dwarfdump, 
que esta disponible como un paquete de instalacion en la mayorfa de las 
distribuciones de Linux, para extraer esta informacion de depuracion: 

user@lab $ dwarfdump -di module.ko > module.dwarf 
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EI siguiente paso en la creacion de nuestro perfil es adquirir el archivo 
System.map dei sistema de destino o un sistema con la misma arquitectura, la 
version dei kernel y la configuracion dei kernel. El archivo System.map se puede 
encontrar en el directorio /boot. A menudo, la version dei kernel se incluye en el 
nombre dei archivo, por lo tanto, asegurese de seleccionar el archivo System.map 
para el kernel en ejecucion dei sistema de destino forense. 

Coloque module. dwarf y System.map en un archivo zip, que se convertira 
en nuestro perfil de Volatility, como se muestra a continuacion: 

userQlab $ zip Ubuntu3-2.0-88.zip module.dwarf System.map 

Como se muestra en el ejemplo, el nombre dei archivo ZIP debe reflejar la 
distribucion y la version dei kernel. 

Asegurese de no agregar informacion de ruta adicional al 
archivo zip. De lo contrario, Volatility puede no cargar los 
datos dei perfil. 

Copie el nuevo perfil en el directorio de perfil de Linux de Volatility, de la siguiente maner a: 

userQlab $ sudo cp Ubuntu3-2.0-88.zip /usr/local/lib/python2.7/dist- 
packages/volatility-2.4-py2.7.egg/volatility/plugins/overlays/linux/ 

En lugar de utilizar el directorio de perfiles de todo el sistema, tambien puede elegir uno 
nuevo y agregar la opcion — plugins=/path/to/prof iles a su Irnea de comando Volatility. 

Finalmente, debe obtener el nombre de su nuevo perfil para un uso posterior. Por 
lo tanto, use la siguiente llamada: 

userglab $ vol.py --info 

La salida debe contener una linea adicional que muestre el nuevo perfil, como se 
muestra a continuacion: 

Profiles 



LinuxUbuntu3_2_0-88x64 - A Profile for Linux Ubuntu3.2.0-88 x64 

Para usar este perfil, agregue --profile = LinuxUbuntu3_2_0-88x64 como el 
argumento de linea de comando para todas las llamadas posteriores a vol. py. 
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Reconstruccion de datos para Linux 

Todos los plugins que analizan los volcados de memoria de Linux tienen el prefijo linux_. 
Por lo tanto, debe usar la version de Linux de los plugins. De lo contrario, puede recibir un 
mensaje de error que notifique que el modulo no es compatible con el perfil seleccionado. 


Analizando procesos y modulos 

Un primer paso tipico en el analisis de un volcado de memoria es enumerar todos 
los procesos en ejecucion y los modulos de kernel cargados. 

A continuacion, se muestra como separar todos los procesos en ejecucion de 
un volcado de memoria con Volatility: 

userglab $ vol.py --profile=LinuxUbuntu3_2_0-88x64 -- 
file=memDump.lime linux_pslist 

Volatility Foundation Volatility Framework 2.4 


Offset Name Pid Uid 

Gid DTB Start Time 


Oxffff8802320e8000 init 1 0 

0x000000022f6c0000 2015-08-16 09:51:21 UTC+0000 

Oxffff8802320e9700 kthreadd 2 0 

- 2015-08-16 09:51:21 UTC+0000 


0 

0 


Oxffff88022fbcO000 

0x000000022cd38000 

cron 

2015-08-16 

09:51:25 

2500 

UTC+0000 

0 

Oxffff88022fbcl700 

0x000000022fe28000 

atd 

2015-08-16 

09:51:25 

2501 

UTC+0000 

0 

Oxffff88022f012e00 

0x000000022df39000 

irqbalance 

2015-08-16 

09:51:25 

2520 

UTC+0000 

0 

Oxffff8802314b5c00 

whoopsie 


2524 

105 


114 0x000000022fIbOOOO 2015-08-16 09:51:25 UTC+0000 


Oxffff88022c5c0000 freshclam 2598 119 

131 0x0000000231fa7000 2015-08-16 09:51:25 UTC+0000 


0 

0 

0 
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Como se muestra en el resuitado, el plugin linux_pslist itera la estructura dei kernel 
al describir los procesos activos, es decir, comienza desde el slmbolo init_task e itera 
la lista vinculada task_struct-> tasks. El plugin obtiene una lista de todos los 
procesos en ejecucion, incluida su direccion de desplazamiento en la memoria, nombre 
dei proceso, ID de proceso (PID), ID numerico dei usuario y grupo dei proceso (UID y 
GID) y hora de inicio. La Base de tabla de directorios (DTB) se puede usar en el 
analisis posterior para traducir direcciones flsicas a direcciones virtuales. Las entradas 
vadas de DTB se relacionan, muy probablemente, con un hilo dei kernel. Por ejemplo, 
kthreadd en nuestra salida de ejemplo. 

Analizar la informacion de la red 

El volcado de memoria contiene diversa informacion sobre la actividad de la red 
de nuestro sistema de destino forense. Los siguientes ejemplos muestran como 
utilizar Volatility para derivar la informacion sobre la actividad de red reciente. 

El cache dei protocolo de resolucion de direcciones (ARP) dei kernel de Linux asigna 
las direcciones MAC a las direcciones IP. Antes de que se establezca una 
comunicacion de red en la red local, el kernel de Linux envla una solicitud ARP para 
obtener la informacion sobre la direccion MAC correspondiente para una direccion IP 
de destino determinada. La respuesta se almacena en cache, en la memoria para su 
reutilizacion para comunicarse aun mas con esta direccion IP en la red local. En 
consecuencia, las entradas de la memoria cache ARP indican los sistemas en la red 
local con los que el objetivo forense se estaba comunicando. 

Para leer la memoria cache ARP desde un volcado de memoria Linux, use el siguiente comando: 

userQlab $ vol.py --profile=LinuxUbuntu3_2_0-88x64 -- 
file=memDump.lime linux_arp 

[192.168.167.22 ] at 00:00:00:00:00:00 on 

ethO 

[192.168.167.20 ] at b8:27:eb:01:c2:8f on 

ethO 

Este extracto dei resultado muestra que el sistema tenla una entrada de cache para la 
direccion de destino 192.168.167.20 con b8 :27 : eb: 01: c2 : 8f siendo la direccion 
MAC correspondiente. La primera entrada es muy probablemente una entrada de 
cache que resulta de un intento de comunicacion fallido, es decir, el socio de 
comunicacion 192.168.167.22 no envio una respuesta a una solicitud ARP que se 
transmitio desde el sistema y, por lo tanto, la entrada de cache ARP correspondiente 
permanecio en su valor inicial de 00:00:00:00:00:00. Oel interlocutor de 
comunicacion no era accesible o simplemente no existe. 
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Si grandes partes de la subred local aparecen en la memoria 
cache ARP con multiples entradas que tienen una direccion 
MAC de 00: 00: 00: 00: 00: 00, entonces este es un indicador de la 
actividad de escaneo, es decir, el sistema ha intentado detectar 
otros sistemas en la red local. 


Para un analisis de red adicional, podria valer la pena consultar la lista de 
direcciones MAC que se recuperan de la memoria cache ARP contra los sistemas 
que se supone que estan en la subred local. Si bien esta tecnica no es a prueba de 
balas (ya que las direcciones MAC se pueden falsificar), podria ayudar a descubrir 
dispositivos de red deshonestos. 



Buscando el proveedor de hardware para una direccion MAC 

El prefijo de una direccion MAC revela el proveedor de hardware 
dei hardware de red correspondiente. Sitios como http: // 
www.macvendorlookup.com proporciona una indicacion dei 
proveedor de hardware de una tarjeta de red. 


Si buscamos el proveedor de hardware para la direccion MAC b8:27:eb:01:c2:8f de 
nuestro ejemplo, muestra que este dispositivo fue fabricado por la Fundacion Raspberry 
Pi. En un entorno estandar de oficina o centro de datos, estos dispositivos integrados rara 
vez se utilizan y, definitivamente, vale la pena comprobar si este dispositivo es benigno. 

Para obtener una vision general de la actividad de la red en el momento en que se creo el 
volcado de memoria, Volatility proporciona los medios para emular el comando 
linux_netstat, de la siguiente manera: 

user@lab $ vol.py --profile=LinuxUbuntu3_2_0-88x64 -- 
file=memDump.lime linux_netstat 

TCP 192.168.167.21 :55622 109.234.207.112 : 143 ESTABLISHED 

thunderbird/37 4 6 

UNIX 25129 thunderbird/3746 

TCP 0.0.0.0 : 7802 0.0.0.0 : 0 LISTEN 

skype/3833 


Estas tres lineas son solo un pequeno extracto de la salida tipica de este comando. La 
primera linea muestra que el proceso Thunderbird con el PID 3746 tiene una conexion 
de red ESTABLISHED activa al servidor IMAP (puerto TCP 143) con la direccion IP 
109.234.207.112. La segunda linea simplemente muestra un socket de tipo UNIX que 
se utiliza para comunicacion entre procesos (IPC). La ultima entrada muestra que 
Skype con el 3833 PID es un LISTEN de espera para las conexiones entrantes en el 
puerto TCP 7802. 
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Volatility tambien se puede utilizar para reducir la lista de procesos a aquellos con 
acceso de red sin formato. Normalmente, este tipo de acceso solo es necesario para los 
clientes de Protocolo de configuracion dinamica de host (DHCP), diagnosticos de red 
y, por supuesto, malware para construir paquetes arbitrarios en la interfaz de red, por 
ejemplo, realizar un ataque llamado envenenamiento de cache ARP. A continuacion, 
se muestra como enumerar los procesos con sockets de red sin formato: 

userQlab $ vol.py --profile=LinuxUbuntu3_2_0-88x64 -- 
file=memDump.lime linux_list_raw 

Process PID File Descriptor Inode 


dhclient 2817 5 15831 

Aqui, solo se detecta que el cliente DHCP tiene el acceso de red sin formato. 

Deteccion de modulos Rootkit 

Volatility proporciona una variedad de mecanismos para detectar el 
comportamiento tipico dei rootkit, por ejemplo, el enganche de 
interrupcion, las manipulaciones de la pila de red y los modulos 
ocultos dei kernel. Recomendamos familiarizarse con estos modulos 
ya que pueden acelerar su analisis. Ademas, revise periodicamente 
las actualizaciones de modulos para aprovechar los nuevos 
mecanismos de deteccion de malware que se incorporan a Volatility. 

Algunos metodos genericos y heuristicos para la deteccion de malware se 
combinan en el modulo linuxjnalfind. Este modulo busca mapeos de memoria de 
procesos sospechosos y produce una lista de procesos posiblemente maliciosos. 

Caza de malware con la ayuda de YARA 

YARA en si es una herramienta que puede hacer coincidir un patron dado en 
archivos y conjuntos de datos arbitrarios. Las regias correspondientes, 
tambien conocidas como firmas, son una gran manera de buscar archivos 
maliciosos conocidos en volcados de discos duros o memoria. 

En esta seccion, queremos demostrar como buscar malware dado en un volcado 
de memoria adquirido de una maquina Linux. Por lo tanto, puede usar dos 
procedimientos diferentes que discutiremos a continuacion: 

• Buscando en el volcado de memoria directamente con la ayuda de YARA 

• Usando linux_yarascan y Volatility 
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La primera opcion tiene una gran desventaja; como ya sabemos, los volcados de 
memoria contienen datos fragmentados que normalmente son contiguos. Este 
hecho lo hace propenso al fracaso si esta buscando en este volcado firmas 
conocidas, ya que no estan necesariamente en el orden en que las esta buscando. 

La segunda opcion, que utiliza linux_yarascan, es mas segura ya que usa 
Volatility y conoce la estructura dei volcado de memoria adquirido. Con la 
ayuda de este conocimiento, es capaz de resolver la fragmentacion y realizar la 
busqueda confiable para firmas conocidas. Aunque, estamos usando 
linux_yarascan en Linux, este modulo tambien esta disponible para Windows 
(yarascan) y Mac OS X (mac_yarascan). 

Las principales capacidades de este modulo son las siguientes: 

• Escanea los procesos dados en el volcado de memoria para una firma dada de YARA 

• Escanea el rango completo de la memoria dei kernel 

• Extrae las areas de memoria en el disco que contengan resultados 
positivos a las regias YARA dadas 

La lista completa de posibles opciones de linea de comando se puede ver al 
ingresara vol.py linux_yarascan -h 

Basicamente, puedes buscar de muchas maneras diferentes. La forma mas 
sencilla de usar este modulo es buscar una URL determinada en el volcado de 
memoria. Esto puede hacerse ingresando el siguiente comando: 

userglab $ vol.py --profile=LinuxUbuntu3_2_0-88x64 -- 
file=memDump.lime linux_yarascan --yara-rules="microsoft.com" --wide 


Task: skype pid 3833 

rule rl addr 0xe2be751f 






0xe2be751f 6d 00 

m.i.c.r.o.s.o.f. 

69 

00 

63 

00 

72 

00 

6f 

00 

73 

00 

6f 

00 

66 

00 

0xe2be752f 74 00 
t...c.o.m./.t.y. 

2e 

00 

63 

00 

6f 

00 

6d 

00 

2f 

00 

74 

00 

79 

00 

0xe2be753f 70 00 
p.o.g.r.a.p.h.y. 

6f 

00 

67 

00 

72 

00 

61 

00 

70 

00 

68 

00 

79 

00 

0xe2be754f 2f 00 
/.f.o.n.t.s./.Y. 

66 

00 

6f 

00 

6e 

00 

74 

00 

73 

00 

2f 

00 

59 

00 

0xe2be755f 6f 00 

o.u...m.a.y...u. 

75 

00 

20 

00 

6d 

00 

61 

00 

79 

00 

20 

00 

75 

00 

0xe2be756f 73 00 

s.e. ..t.h.i.s. . . 

65 

00 

20 

00 

74 

00 

68 

00 

69 

00 

73 

00 

20 

00 

0xe2be757f 66 00 

f.o.n.t...a.s. . . 

6f 

00 

6e 

00 

74 

00 

20 

00 

61 

00 

73 

00 

20 

00 
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0xe2be758f 70 00 

65 

00 

72 

00 

6d 

00 

69 

00 

74 

00 

74 

00 

65 

00 

p.e.r.m.i.t.t.e. 

0xe2be759f 64 00 

20 

00 

62 

00 

79 

00 

20 

00 

74 

00 

68 

00 

65 

00 

d...b.y...t.h.e. 

0xe2be75af 20 00 

45 

00 

55 

00 

4c 

00 

41 

00 

20 

00 

66 

00 

6f 

00 

..E.U.L.A...f.o. 

0xe2be75bf 72 00 

20 

00 

74 

00 

68 

00 

65 

00 

20 

00 

70 

00 

72 

00 

r...t.h.e...p.r. 

0xe2be75cf 6f 00 

64 

00 

75 

00 

63 

00 

74 

00 

20 

00 

69 

00 

6e 

00 

o.d.u.c.t...i.n. 

0xe2be75df 20 00 

77 

00 

68 

00 

69 

00 

63 

00 

68 

00 

20 

00 

74 

00 

..w.h.i.c.h...t. 

0xe2be75ef 68 00 

69 

00 

73 

00 

20 

00 

66 

00 

6f 

00 

6e 

00 

74 

00 

h.i.s...f.o.n.t. 

0xe2be75ff 20 00 

69 

00 

73 

00 

20 

00 

69 

00 

6e 

00 

63 

00 

6c 

00 

..i.s...i.n.c.l. 

0xe2be760f 75 00 

64 

00 

65 

00 

64 

00 

20 

00 

74 

00 

6f 

00 

20 

00 

u.d.e.d...t.o. . . 

Task: skype pid 3833 

0xedfel267 6d 00 69 

rule rl addr 0xedfel267 

00 63 00 72 00 6f 00 73 

00 

6f 

00 

66 

00 

m.i.c.r.o.s.o.f. 

0xedfel277 74 00 

2e 

00 

63 

00 

6f 

00 

6d 

00 

2f 

00 

74 

00 

79 

00 

t...c.o.m./.t.y. 

0xedfel287 70 00 

6f 

00 

67 

00 

72 

00 

61 

00 

70 

00 

68 

00 

79 

00 

p.o.g.r.a.p.h.y. 

0xedfel297 2f 00 

66 

00 

6f 

00 

6e 

00 

74 

00 

73 

00 

2f 

00 

59 

00 

/.f.o.n.t.s./.Y. 

0xedfel2a7 6f 00 

75 

00 

20 

00 

6d 

00 

61 

00 

79 

00 

20 

00 

75 

00 

o.u...m.a.y...u. 

0xedfel2b7 73 00 

65 

00 

20 

00 

74 

00 

68 

00 

69 

00 

73 

00 

20 

00 

s.e. ..t.h.i.s. . . 

0xedfel2c7 66 00 

6f 

00 

6e 

00 

74 

00 

20 

00 

61 

00 

73 

00 

20 

00 

f.o.n.t...a.s. . . 

0xedfel2d7 70 00 

65 

00 

72 

00 

6d 

00 

69 

00 

74 

00 

74 

00 

65 

00 

p.e.r.m.i.t.t.e. 

0xedfel2e7 64 00 

20 

00 

62 

00 

79 

00 

20 

00 

74 

00 

68 

00 

65 

00 

d...b.y...t.h.e. 

0xedfel2f7 20 00 

45 

00 

55 

00 

4c 

00 

41 

00 

20 

00 

66 

00 

6f 

00 

..E.U.L.A...f.o. 

0xedfel307 72 00 

20 

00 

74 

00 

68 

00 

65 

00 

20 

00 

70 

00 

72 

00 


r...t.h.e...p.r. 
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0xedfel317 6f 00 

o.d.u.c.t...i.n. 

64 

00 

75 

00 

63 

00 

74 

00 

20 

00 

69 

00 

6e 

00 

0xedfel327 20 00 

77 

00 

68 

00 

69 

00 

63 

00 

68 

00 

20 

00 

74 

00 

. .w.h.i.c.h. ..t. 















0xedfel337 68 00 

h.i.s...f.o.n.t. 

69 

00 

73 

00 

20 

00 

66 

00 

6f 

00 

6e 

00 

74 

00 

0xedfel347 20 00 

69 

00 

73 

00 

20 

00 

69 

00 

6e 

00 

63 

00 

6c 

00 

..i.s...i.n.c.l. 















0xedfel357 75 00 

64 

00 

65 

00 

64 

00 

20 

00 

74 

00 

6f 

00 

20 

00 


u.d.e.d...t.o... 

Una forma mas compleja pero tambien mas realista es buscar una regia dada de 
YARA. La siguiente regia de YARA fue hecha para identificar si un sistema ha sido 
infectado con la familia de malware Derusbi: 

rule APT Derusbi Gen 


meta: 

author = "ThreatConnect Intelligence Research Team" 
strings: 

$2 = "273ce6-b29f-90d618c0" wide ascii 
$A = "Acel23dx" fullword wide ascii 
$A1 = "Acel23dxl!" fullword wide ascii 
$A2 = "Acel23dx!@#x" fullword wide ascii 
$C = "/Catelog/loginl.asp" wide ascii 
$DF = "~DFTMP$$$$$.1" wide ascii 
$G = "GET /Query.asp?loginid=" wide ascii 
$L = "LoadConfigFromReg failded" wide ascii 
$L1 = "LoadConfigFromBuildin success" wide ascii 
$ph = "/photoe/photo.asp HTTP" wide ascii 
$P0 = "POST /photos/photo.asp" wide ascii 
$PC = "PCC_IDENT" wide ascii 
condition: 
any of them 

} 

Si guardamos esta regia como apt_derusbi_gen.rule, podemos buscarla en el volcado 
de memoria adquirido al ingresar el siguiente comando: 

userglab $ vol.py --profile=LinuxUbuntu3_2_0-88x64 -- 

file=memDump.lime linux_yarascan --yara-file=apt_derusbi_gen.rule -- 

wide 

El resultado solo nos mostrara una vista previa corta que se puede ampliar 
utilizando la opcion — size. 
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Si esta investigando un escenario predefinido (por ejemplo, si ya sabe que el 
sistema ha sido atacado por un grupo conocido), puede copiar todas sus regias 
en un unico archivo de regias y buscar en el volcado de memoria todas las regias 
dei archivo En seguida. Volatility y linux_yarascan mostraran cada hit y su 
numero de regia correspondiente. Esto hace que sea mucho mas rapido buscar 
comportamiento malicioso conocido en un volcado de memoria. 

Existe una gran cantidad de tuentes para las firmas YARA que estan disponibles en la 
naturaleza y solo mencionaremos algunas de las mas importantes aqui para 
ayudarlo, comenzando con la busqueda de malware como se muestra a continuacion: 

• Grupo de intercambio de firmas YARA en Grupos de Google: http: // 
www. deependresearch.org/ 

• Firmas de AlienVault Labs:https : // github. com/AlienVault-Labs/ 
AlienVaultLabs/tree/master/malware_analysis 

• Firmas de antivirus que pueden compilarse con la ayuda de ClamAV y la receta 
3-3 de Malware Analysfs Cookbook: https : //code. google. com/p/ 
malwarecookbook/source/browse/trunk/3/3/clamav_to_yara.py 


Resumen 

En este capitulo, proporcionamos una descripcion general de la memoria forense 
utilizando el framework Volatility. En los ejemplos, demostramos tecnicas de 
adquisicion de memoria para sistemas Android y Linux y vimos como usar LiME en 
ambos sistemas. Usamos Volatility para obtener informacion sobre procesos en 
ejecucion, modulos cargados, posible actividad maliciosa y actividad de red reciente. 
Esto ultimo es util para rastrear las actividades de un atacante a traves de la red. 

En el ultimo ejemplo de este capitulo, demostramos como buscar una 
determinada firma de malware u otras regias altamente flexibles basadas en 
patrones en dicho volcado de memoria. Estas firmas y regias de YARA ayudan a 
identificar actividades o archivos sospechosos muy rapido. 

Ademas, demostramos como obtener la cache dei teclado y el historial de llamadas 
desde un dispositivo Android. 
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A donde ir desde aqui 

Si desea probar las herramientas y el conocimiento obtenido de este libro, 
tenemos los siguientes dos consejos para usted: 

• Cree un laboratorio con dos maquinas virtuales: Metasploit y 
Metasploitable. Intenta piratear tu sistema Metasploitable y luego 
realiza un analisis forense. ^Eres capaz de reconstruir el ataque y reunir 
todos los Indicadores de compromiso? 

• Obtenga algunos discos duros viejos, que ya no se usan pero que se han 
usado regularmente en el pasado. Realice un analisis forense en estas 
unidades y trate de reconstruir la mayor cantidad de datos posible. Eres 
capaz de reconstruir operaciones anteriores en estas unidades? 

Si desea mejorar su conocimiento sobre algunos de los temas tratados en este 
libro, los siguientes libros son una muy buena opcion: 

• Prdctica forense movil por Satish Bommisetty, Rohit Tamma, Heather Mahalik, 

Packt Publishing 

• El arte de la memoria forense: Deteccion de malware y amenazas en Windows, 

Linux y memoria Mac por Michael Hale Eigh, Andrew Case, Jamie Levy y AAron 
Walters, Wiley India 

• Manual de analisis forense digital e Investigacion por Eoghan Casey, Academic Press 
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